Le Client, agissant en qualité de responsable de traitement et la Société agissant en qualité de sous-traitant sont convenus de l’accord ci-après sur la protection des Données à Caractère Personnel pour lesquelles la Société en qualité de sous-traitant.
Finalité(s) du traitement :
Catégories de Données à caractère personnel
Catégories |
|
Etat civil, identification, Données d’identification, image (nom, prénom, pseudo., date de naissance, numéro d’identification, adresse postale ou électronique, image, etc.) | Oui Si oui : Obligatoire : Adresse électronique Facultative : Nom, Prénom |
Vie professionnelle (CV, scolarité, formation professionnelle, distinctions, etc.) | Oui Si oui : Nom de l’entreprise, Fonction occupée, Numéro SIREN
|
Données de connexion (adresse IP, logs, etc.) | Non
|
Données de localisation (déplacements, Données GPS, GSM, etc.) | Non
|
Données sensibles (données de santé, numéro de sécurité sociale, données relatives aux infractions, condamnations et mesures de sécurité, opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, origines raciales ou ethniques) | Non |
Durée du traitement : durée du Contrat
Durée de conservation des Données à Caractère Personnel :
Sort des Données à Caractère Personnel au terme du Contrat : restitution et/ou suppression
Les Données à Caractère Personnel sont collectées, consultées, organisées, structurées, transmises et effacées et plus généralement traitées pour les fins stipulées au Contrat et en vue d’exécuter ce dernier.
Si la Société considère qu’une instruction du Client constitue une violation du Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 ou toute autre règle applicable, elle devra en informer immédiatement ce dernier, sans préjudice de son droit :
Sous-traitance ultérieure
Il est expressément entendu que la Société est autorisée à sous-traiter les Données à Caractère Personnel à un sous-traitant de son choix sous réserve d’en informer le Client.
En toutes hypothèses, la Société s’engage à :
Le tableau ci-après définit le type de services éventuels réalisés et s’ils sont qualifiés de prestations essentielles, critiques ou importantes externalisées. Il précise également la localisation géographique, à savoir, le lieu de réalisation de ces services et le lieu de stockage des Données.
Sous-traitant Ultérieur | Nature des opérations de traitement | Services et/ou prestations qualifiés de prestations essentielles, critiques ou importantes | Localisation géographique |
Clevercloud
| Hébergement Plateforme : backend, base de données, frontend | OUI | France (société Européenne) |
Amazon Web Services Amazon S3 (Simple Storage Service) | Stockage des données comptables originales et des données prévisionnelles (résultats) | OUI | France (société américaine) |
Chift
| Développement et maintenance des connecteurs au système du Client | OUI | Belgique (société Belge) |
UbiOps | Utilisation des Données à Caractère Personnel dans des pipelines de traitement (algorithmes de nettoyage, clustering et prédictions) | OUI | Pays-Bas |
Origine des Données à Caractère Personnel sous-traitées
En sa qualité de responsable des traitements de Données à Caractère Personnel sous-traitées à la Société, le Client, conformément au Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016, s’engage à ne communiquer à la Société, que des Données à Caractère Personnel collectées de manière transparente, loyale et licite.
Il reviendra au Client d’informer, le cas échéant, les personnes concernées sur les droits dont elles disposent et le cas échéant de recueillir leur consentement.
Transfert des Données à Caractère Personnel sous-traitées
La Société devra s’assurer qu’aucune donnée à caractère personnel traitée pour le compte du Client ne soit transférée vers un pays tiers à l’Union Européenne ou une organisation internationale, à moins que :
En toutes hypothèses, la Société ne pourra procéder à un tel transfert qu’à la condition de prévoir des garanties appropriées, au sens du droit des Données à Caractère Personnel, telles que le recours à des clauses contractuelles types adoptées par la Commission européenne ou la CNIL.
La présente clause est applicable aux cas de transfert résultant d’une sous-traitance de second rang.
Confidentialité
La Société s’engage à assurer la confidentialité des Données à Caractère Personnel sous-traitées. Elle veillera également à ce que toutes personnes physiques ou morales autorisées à traiter ces données sur ses instructions, telles que les personnels ou sous-traitants de second rang, s’engagent à en respecter la confidentialité dans les mêmes termes que ceux auxquels la Société est soumise.
Sécurité
Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités des traitements de Données à Caractère Personnel ainsi que des risques pour les droits et libertés des personnes concernées, la Société s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de leur garantir un niveau de sécurité adapté, en considération notamment du risque de les voir détruites, perdues, altérées, divulguées ou accessibles sans autorisation, conservées ou traitées d’une autre manière.
En toutes hypothèses, la Société s’engage au moins à mettre en œuvre :
En cas de violation avérée ou supposée des Données à Caractère Personnel traitées, la Société devra, dans les meilleurs délais, en faire connaître au Client :
Droits des Personnes Concernées
La Société aidera le Client dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont toute personne concernée le saisira, en vue d’exercer les droits qui lui sont reconnus, à savoir, le droit à l’information sur un traitement de Données à Caractère Personnel, le droit d’accès, de rectification, d’effacement, de portabilité de Données à Caractère Personnel ou le droit à la limitation ou à l’opposition à un traitement de Données à Caractère Personnel.
Conservation des Données à Caractère Personnel et conséquence du terme du Contrat
Les Données à Caractère Personnel sous-traitées sont conservées jusqu’au terme du Contrat.
Au terme du Contrat, quelle qu’en soit la cause, la Société s’engage, selon le choix du Client :
Assistance
La Société communiquera au Client toutes les informations raisonnablement accessibles, permettant d’aider ce dernier à satisfaire à ses obligations en matière de contrôle, auto-évaluation, alerte, fuites de Données à Caractère Personnel, déclaration ou amélioration continue de ses traitements de Données à Caractère Personnel, conformément au Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016.
La Société s’imposera la mise en place d’un processus de gestion des incidents de sécurité, incluant : (i) des procédures de signalement des incidents de sécurité auprès du Client et (ii) la sensibilisation de ses intervenants à ces procédures.
La Société définira, mettra en œuvre et testera un dispositif de gestion de violations de Données à Caractère Personnel.
Il s’engage notamment à notifier au Client toutes violations de Données à Caractère Personnel dans un délai de vingt-quatre (24) heures à compter de sa détection.
Il gardera un journal avec la description de l’incident de sécurité et des Données à Caractère Personnel compromises (si connues), les coordonnées du déclarant et de la personne à qui l’incident de sécurité a été communiqué, les mesures prises pour le résoudre (personnes en charge et les Données à Caractère Personnel qui ont pu être récupérées), les éventuelles conséquences (pertes, divulgation, altération, etc.) qui en ont résulté.
Information et audit
La Société mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations stipulées au présent accord et pour permettre la réalisation d’audits ou d’inspections.