Accord sur le traitement des données

Dispositions relatives à la protection et à la sécurité des données pour la sous-traitance du traitement des données

Base7Germany GmbH

Kesselstrasse 5-7

40221 Düsseldorf

Allemagne

– Sous-traitant –

(Ci-après dénommé le « Sous-traitant »)

(Ci-après dénommés conjointement les « Parties »)

Préambule

Afin de définir les droits et obligations nés de la relation contractuelle relative au traitement des données conformément à l’obligation réglementaire stipulée à l’article 28 du RGPD (Règlement général sur la protection des données), les Parties contractantes concluent l’accord qui suit.

1. Objet, nature et fins du traitement

(1) L’objet du traitement résulte des Conditions Générales d’Utilisation (ci-après dénommées « Accord principal ») auxquelles le présent se réfère. Le présent ne prévoit aucun traitement supplémentaire des données personnelles du Responsable du traitement par le Sous-traitant.

(2) Le traitement de données personnelles s’effectue exclusivement sur le territoire de la République fédérale d’Allemagne, dans un État membre de l’Union européenne, en Suisse ou dans un autre État contractant signataire de l’accord relatif à l’Espace économique européen. Tout transfert vers un pays tiers nécessite une instruction préalable écrite du Responsable du traitement (article 28 § 3 al. a du RGPD) et ne peut être effectué que si les conditions spéciales des articles 44 à 49 du RGPD sont remplies.

2. Type de données personnelles, catégories de personnes concernées

(1) Type de données :

☒ Données personnelles de base

☒ Données relatives à la communication (par ex. téléphone, e-mail)

☒ Données contractuelles (relation contractuelle, intérêts du produit ou contractuel)

☒ Historique du client

☒ Informations relatives à la facturation du contrat et informations relatives au paiement

☒ Informations fournies par des tiers (par ex. agence de crédit ou annuaire public)

☐ ……

(2) Catégories de personnes concernées :

☒ Clients (client de l’entreprise)

☒ Clients (consommateurs)

☒ Prospects

☒ Employés

☒ Fournisseurs

☐ Prestataires de service

☐ ……..

3. Durée de la sous-traitance

(1) La durée de la présente sous-traitance (la « Durée ») correspond à celle de l’Accord principal.

(2) Indépendamment des dispositions de l’Accord principal, le Responsable du traitement peut résilier le présent accord à tout moment sans préavis, si le Sous-traitant commet un manquement grave aux dispositions du présent, s’il ne peut pas ou ne veut pas suivre les instructions du Responsable du traitement ou si le Sous-traitant refuse de fournir des informations au Responsable du traitement ou de lui donner les accès dans le cadre des inspections prévues au contrat. Après la résiliation, le Sous-traitant n’est plus autorisé à traiter les données personnelles du Responsable du traitement.

4. Responsabilité et autorité pour l’émission d’instructions

(1) Le Responsable du traitement est responsable du respect des réglementations en matière de protection des données, en particulier pour la légalité du transfert de données vers le Sous-traitant et celle du traitement des données (article 4 n°7 du RGPD). Il est interdit au Sous-traitant d’utiliser les données à d’autres fins, et en particulier, de les transmettre à des tiers. Aucune copie ni aucun duplicata ne pourront être réalisés sans en avoir informé le Responsable du traitement. Les exceptions ne s’appliqueront que dans la limite indiquée au paragraphe 2 de la présente clause.

(2) Le Sous-traitant ne traite des données personnelles que sur instruction documentée du Responsable du traitement, sauf disposition contraire de la législation de l’Union européenne ou de l’État membre dont dépend le Sous-traitant. En cas d’obligation contraire, le Sous-traitant devra immédiatement informer le Responsable du traitement des obligations réglementaires correspondantes avant tout traitement.

(3) Si le Sous-traitant estime qu’une instruction enfreint les lois sur la protection des données, il doit en informer le Responsable du traitement sans délai, conformément aux dispositions de l’article 28 § 3 phrase 3 du RGPD. Le Sous-traitant sera en droit de suspendre l’exécution de l’instruction jusqu’à la confirmation ou la modification de cette dernière.

5. Confidentialité

Le Sous-traitant ne devra employer pour l’exécution du travail que des personnes qui se sont engagées à respecter la confidentialité conformément à l’article 28 § 3 al. 2. b du RGPD, et qui ont pris connaissance des dispositions relatives à la protection des données qui les concernent. Le Sous-traitant, ainsi que toute personne sous son contrôle qui a accès aux données personnelles, ne pourront traiter celles-ci que conformément aux instructions du Responsable du traitement, y compris les pouvoirs conférés par le présent Accord, sauf s’ils se trouvent dans l’obligation réglementaire de traiter les données.

6. Sécurité des données

(1) Le Sous-traitant devra prendre des mesures techniques et organisationnelles appropriées pour assurer une protection adéquate des données personnelles, conformément aux articles 28 § 3 al. c du RGPD et 32 § 1 du RGPD, afin de garantir la sécurité du traitement par ses soins. À ces fins, le Sous-traitant devra

• veiller à la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services liés au traitement sur le long terme,

• veiller à la capacité de restaurer rapidement la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique ; et

• maintenir une procédure pour la vérification, l’analyse et l’évaluation de l’efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement.

L’état des connaissances, les coûts de mise en œuvre et la nature, la portée, le contexte et les finalités du traitement ainsi que les risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, au sens de l’article 32 § 1 du RGPD devront être pris en compte.

(2) Les Parties contractantes conviennent des mesures de sécurité exposées dans l’Annexe I « Mesures techniques et organisationnelles » jointe au présent Accord.

(3) Les mesures techniques et organisationnelles dépendent des progrès techniques et d’un développement ultérieur. À cet égard, le Sous-traitant est autorisé à mettre en place des mesures alternatives adéquates. Le niveau de sécurité ne devra pas être inférieur à celui des mesures préconisées. Les modifications importantes devront être documentées et communiquées au Responsable du traitement.

7. Recrutement d’autres sous-traitants

(1) La présente clause ne vise que les sous-traitants recrutés pour le Sous-traitant pour des services directement liés à la prestation du service principal. Sont exclus les services accessoires utilisés par le Sous-traitant, par exemple, les services de télécommunications, les services postaux ou de transport et le nettoyage. Cependant, le Sous-traitant est tenu de prendre des accords contractuels et des mesures de contrôle appropriés et conformes à la législation, afin de garantir la protection et la sécurité des données du Responsable du traitement, même dans le cas de sous-traitance de services accessoires.

(2) Le recrutement ou le remplacement de sous-traitants sont autorisés, à condition que :

• le Sous-traitant informe le Responsable du traitement préalablement, avec un préavis raisonnable, par écrit ou sous forme textuelle, du recrutement de ces sous-traitants, et

• que le Responsable du traitement ne formule aucune objection contre le recrutement envisagé, par écrit ou sous forme textuelle avant la date du transfert des données au Sous-traitant.

(3) Un accord contractuel doit être conclu avec le sous-traitant conformément à l’article 28 §§ 3 et 4 du RGPD. Cet accord doit remplir les conditions de confidentialité, de protection et de sécurité des données exigées par le présent Accord. Le Responsable du traitement est libre de vérifier les contrats du Sous-traitant avec les sous-traitants et de demander à en recevoir une copie.

(4) Si le sous-traitant fournit le service convenu hors de l’U.E./E.E.E., le Sous-traitant devra s’assurer de sa conformité à la législation sur la protection des données au moyen de mesures appropriées.

(5) Le sous-traitant ne pourra recruter d’autres sous-traitants qu’avec l’autorisation expresse du Responsable du traitement (au moins sous forme textuelle). Toutes les dispositions contractuelles de la chaîne des contrats doivent être imposées aux autres sous-traitants.

8. Assistance à la protection des droits des personnes concernées

(1) Le Sous-traitant est tenu d’assister le Responsable du traitement avec des mesures techniques et organisationnelles appropriées pour protéger les droits des personnes concernées comme indiqué dans les articles 12 à 22 du RGPD (article 28 § 3 phrase 2 al. e du RGPD). En particulier, le Sous-traitant devra assister le Responsable du traitement pour donner suite aux demandes des personnes concernées qui réclament la suppression de leurs données personnelles, conformément à l’article 17 du RGPD.

(2) Si les personnes concernées peuvent exercer leur droit à la portabilité de leurs données à l’égard du Responsable du traitement, le Sous-traitant devra veiller à ce qu’elles puissent recevoir les données qu’elles ont communiquées au Responsable du traitement, dans un format structuré, fréquemment utilisé et lisible par machine.

(3) Le Sous-traitant peut uniquement corriger, supprimer ou limiter le traitement des données personnelles conformément aux instructions documentées du Responsable du traitement (article 28 § 3 phrase 2 al. g du RGPD). Le Sous-traitant ne peut communiquer des informations à des tiers ou aux personnes concernées qu’après autorisation préalable écrite du Responsable du traitement.

(4) Si une personne concernée contacte directement le Sous-traitant afin de faire valoir ses droits en application des articles 12 à 22 du RGPD, ce dernier doit transmettre la demande au Responsable du traitement sans délai.

9. Assistance relative aux obligations de documentation et d’établissement de rapports

(1) Si, en application de l’article 37 du RGPD, section 37 BDSG (nouvelle loi allemande sur la protection des données), le Sous-traitant est légalement obligé de désigner un délégué à la protection des données, il doit communiquer au Responsable du traitement les coordonnées du délégué aux fins de contact direct. Tout changement de délégué à la protection des données doit être immédiatement signalé au Responsable du traitement.

Pour le Sous-traitant,

M. Felix Hudy, Intersoft Consulting Services AG, Beim Strohhause 17, 20097 Hambourg, Téléphone : +49 40 790 235 – 278 | Mobile : +49 151 619 419 76 | E-Mail : FHudy@intersoft-consulting.de

a été désigné comme délégué à la protection des données. La personne à contacter pour les questions de protection des données doit être en mesure de justifier que le Sous-traitant respecte les conditions requises par les lois nationales et internationales sur la protection des données, sur demande du Responsable du traitement.

(2) En cas de violation de la protection des données personnelles, le Sous-traitant doit immédiatement en informer le Responsable du traitement, en application de l’article 28 § 3 al. f et 33 § 2 du RGPD. Les mêmes dispositions sont applicables en cas de non-respect du présent Accord par les personnes employées par le Sous-traitant.

(3) Après consultation du Responsable du traitement, le Sous-traitant devra prendre immédiatement les mesures nécessaires afin de sécuriser les données et de minimiser les possibles conséquences indésirables pour les personnes concernées.

(4) Le Sous-traitant devra aider le Responsable du traitement avec toutes les informations dont il dispose pour respecter les obligations en matière d’informations à l’égard de l’autorité de surveillance compétente, conformément à l’article 33 du RGPD, et le cas échéant, à l’égard des personnes concernées par la violation de la protection des données personnelles, conformément à l’article 34 du RGPD.

(5) Le Sous-traitant devra aider le Responsable du traitement avec toutes les informations dont il dispose pour réaliser l’analyse d’impact relative à la protection des données, conformément à l’article 35 du RGPD. Si nécessaire, l’autorité de surveillance compétente sera consultée préalablement, conformément à l’article 36 du RGPD.

(6) Le Sous-traitant informera immédiatement le Responsable du traitement de tous les contrôles et de toutes les mesures mis en œuvre par l’autorité de surveillance, dans la mesure où ils se rapportent au présent accord.

10. Fin de la mission de sous-traitance

(1) Au choix du Responsable du traitement, le Sous-traitant supprime ou renvoie toutes les données personnelles à ce dernier à l’issue de la prestation de services de traitement. Il supprime également les copies existantes, sauf si la législation de l’Union européenne ou d’un État membre requiert un stockage des données personnelles.

(2) Le sous-traitant devra, sans demande expresse, justifier au Responsable du traitement sous forme textuelle comportant une indication de la date qu’il lui a renvoyé tous les supports de données et autres documents ou qu’il les a détruits ou effacés conformément aux réglementations relatives à la protection des données et qu’il n’a donc conservé aucune donnée du Responsable du traitement.

(3) Le Sous-traitant devra conserver tout document justifiant du traitement licite et conforme du traitement pour le compte du Responsable du traitement après la fin du contrat. Le Sous-traitant peut renvoyer ces documents au Responsable du traitement à la fin du contrat pour s’acquitter de cette obligation.

11. Droits de contrôle du Responsable du traitement

(1) Le Responsable du traitement a le droit de contrôler régulièrement les mesures techniques et organisationnelles, ainsi que le respect du présent Accord et des réglementations relatives à la protection des données, avant et pendant l’exécution des services liés au traitement. À cette fin, le Responsable du traitement ou un auditeur agréé peuvent inspecter l’équipement et les systèmes de traitement des données du Sous-traitant.

(2) À cette fin, le Sous-traitant devra permettre au Responsable du traitement d’accéder aux locaux où il traite physiquement ou électroniquement les données, aux heures ouvrables normales et avec un préavis raisonnable. Le Responsable du traitement coordonne les inspections avec le Sous-traitant de manière à impacter le moins possible les procédures d’exploitation de ce dernier.

(3) Le Sous-traitant devra fournir au Responsable du traitement toutes les informations nécessaires pour justifier des mesures techniques et organisationnelles, ainsi que du respect du présent Accord et des réglementations relatives à la protection des données. Ces informations comprennent en particulier des attestations en cours de validité, des rapports ou extraits de rapports émanant d’organismes indépendants (par ex. des auditeurs financiers, des experts externes, des auditeurs en sécurité informatique ou protection des données), ainsi que des certifications appropriées (par ex. conformes au niveau Protection basique du BSI – Bureau fédéral de la sécurité de l’information allemand). Le Sous-traitant fournit immédiatement au Responsable du traitement les informations particulières au cas par cas.

12. Responsabilité

(1) En application de l’article 82 § 1 du RGPD, le Responsable du traitement et le Sous-traitant sont responsables à l’égard des tiers pour les dommages matériels et immatériels subis par une personne suite au non-respect des dispositions du RGPD. Si le Responsable du traitement et le Sous-traitant sont tous deux responsables de ces dommages en application de l’article 82 § 2 du RGPD, les Parties seront responsables entre elles de ces dommages proportionnellement à leur part de responsabilité. Si, dans ce cas, une personne fait valoir une demande d’indemnisation de dommages en tout ou partie contre l’une des Parties, l’autre Partie peut réclamer une indemnisation de la part de l’autre dans une limite proportionnelle à sa part de responsabilité.

(2) Le Sous-traitant est également responsable à l’égard du Responsable du traitement du respect des réglementations relatives à la protection des données par les sous-traitants auxquels il confie des tâches. Toute faute des sous-traitants sera réputée une faute du Sous-traitant.

(3) Le Sous-traitant devra aider le Responsable du traitement avec toutes les informations dont il dispose si ce dernier fait l’objet de poursuites administratives ou judiciaires, en responsabilité de la part d’une personne concernée ou d’un tiers ou de toute autre demande d’indemnisation relativement au traitement des données avec le Sous-traitant.

13. Dispositions finales

(1) Les supports et les enregistrements de données fournis au Sous-traitant demeurent la propriété du Responsable du traitement.

(2) En cas de nullité d’une ou plusieurs clauses du présent Accord, le reste de l’Accord conservera sa validité. En cas de nullité d’une ou plusieurs clauses du contrat, les Parties s’engagent à remplacer immédiatement la clause nulle par une disposition aussi proche que possible de cette dernière au sens des intérêts commerciaux et de la protection des données.

(3) En cas de contradiction entre les dispositions de l’Accord principal et du présent, le présent prévaudra dans la mesure où la contradiction concerne le traitement des données.

(4) Tous les services fournis par le Sous-traitant relativement à ses obligations nées du présent Accord seront réglés au moyen de la rémunération prévue dans l’Accord principal.

(5) Les Annexes suivantes font partie intégrante du présent Accord.

• Annexe 1 « Mesures techniques et organisationnelles »

• Annexe 2 « Sous-traitants approuvés »