Le Règlement Général sur la Protection des Données (RGPD) dans toute l'Union européenne est entré en vigueur le 25 mai 2018.
Conçu pour harmoniser les lois relatives à la confidentialité des données personnelles à travers l'Europe, le RGPD invite notamment les entreprises à expliquer et préciser de manière plus transparente la façon dont elles traitent les données.
Dans cette optique, vous trouverez ci-dessous l’accord entre nos parties régissant la protection des données à caractère personnel.
Nous souhaitons ainsi vous aider à mieux comprendre les engagements de chacun.
Si vous avez des questions complémentaires, veuillez nous contacter à l’adresse suivante : rgpd@largus.fr
ACCORD SUR LA PROTECTION DES DONNEES PERSONNELLES |
Cet article contient les elements suivants
- Article 2. QUALIFICATION JURIDIQUE DES PARTIES
- Article 3. APPLICABILITE DU PRESENT ACCORD
- Article 4. RESPONSABLE DU TRAITEMENT
- Article 5. GARANTIES DU CLIENT
- Article 6. ROLE DU SOUS-TRAITANT
- Article 7. SECURITE DES DONNEES
- Article 8. ENGAGEMENTS DE L’ARGUS
- Article 9. REGISTRE DES OPERATIONS DE TRAITEMENT DES DONNEES PERSONNELLES
- Article 10. NOTIFICATION DES FAILLES DE SECURITE
- Article 11. Sous-traitance ultérieure
Article 1. DÉFINITIONS
Pour le présent accord, les termes ci-dessous ont entre les parties la signification suivante :
« Destinataire » : désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de Données Personnelles, qu’il s’agisse ou non d’un tiers ;
« Données Personnelles » : désigne toute information appartenant au Client se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
« Finalité » : désigne les objectifs principaux assignés au Traitement de Données Personnelles et aux fonctions substantielles mises en œuvre ;
« Personne Concernée » : désigne les personnes physiques identifiables ou identifiées dont les Données Personnelles sont collectées et intégrées dans le Traitement de Données Personnelles ;
« Service » : désigne la fourniture du service faisant l’objet du Contrat ;
« Traitement de Données Personnelles » : désigne toute opération ou ensemble d’opérations portant sur des Données Personnelles, quel que soit le procédé utilisé telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;
« Violation de Données Personnelles » : désigne une violation de la sécurité, entraînant de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
Article 2. QUALIFICATION JURIDIQUE DES PARTIES
Au sens du RGPD et pour la bonne application des présentes :
SELSIA a la qualité de sous-traitant (l’ « Argus ») ;
le client a la qualité de responsable de traitement (le « Client »).
Article 3. APPLICABILITE DU PRESENT ACCORD
3.1 Pendant la durée initiale et celle de tout renouvellement ou reconduction tacite des accords entre les Parties (le « Contrat »), les engagements de l’Argus et du Client au titre de la protection des Données Personnelles sont fixés dans le présent accord dont les termes prévalent, d'accord exprès des parties, sur toute autre disposition du Contrat.
Article 4. RESPONSABLE DU TRAITEMENT
Le Client garantit en sa qualité de responsable de traitement être propriétaire ou titulaire légitime des Données Personnelles qui sont traitées grâce au Service proposé de manière standard à tous les Clients de l’Argus. L'ensemble des droits des Personnes Concernées (articles 15 à 22 GDPR : accès, rectification, oubli, opposition, etc.) doivent être exercés par ces personnes directement et exclusivement auprès du Client, l’Argus s'engageant à se conformer à toute instruction écrite et licite de la part du Client à cet égard.
Article 5. GARANTIES DU CLIENT
5.1 Conformément à la législation européenne et française sur la protection des données personnelles notamment le Règlement UE n°2016/679 du 27 avril 2016 "GDPR", avant toute utilisation du Logiciel ou du Service par le Client et pendant toute la durée initiale et celle de toute prorogation / renouvellement / reconduction tacite du Contrat, le Client garantit à l’Argus que :
(i) le Client a collecté et traite les Données Personnelles de manière licite, loyale et transparente, pour des Finalités déterminées, explicites et légitimes que l’Argus ne saurait connaître et dont le Client déclare avoir dument informé les Personnes Concernées. En conséquence, les éventuelles obligations de déclaration préalable liées au Traitement de ses Données Personnelles auprès d'une Autorité de contrôle sont à sa charge exclusive et le Client garantit à l’Argus y avoir procédé ;
(ii) le Client est seul responsable du Traitement des Données Personnelles qu'il collecte, saisit ou traite à l'occasion de son utilisation du Service et que l’Argus n'est pas autorisé à traiter pour ses besoins propres ;
(iii) le Client détermine seul les Finalités et les moyens du Traitement de ses Données Personnelles opéré notamment par l'usage du Service. En conséquence, il appartient au Client, préalablement à l'usage du Service, de vérifier que le Traitement des Données Personnelles opéré par l’Argus est conforme à la Finalité et aux moyens du Traitement des Données Personnelles confié en sous-traitance à l’Argus.
Les garanties données par le Client à l’Argus au titre du présent article sont autant de qualités essentielles explicites de la prestation (art.1133 [nouveau] Code civil) à la charge du Client de sorte que l’Argus ne puisse voir sa responsabilité incriminée à ce titre, sur quelque fondement que ce soit. Dans le cas contraire, le Client s'engage à relever et garantir l’Argus, sans restriction ni réserve, de toute conséquence notamment pécuniaire mise de ce fait à la charge de l’Argus.
Article 6. ROLE DU SOUS-TRAITANT
6.1 L’Argus agit en qualité de sous-traitant du Traitement des Données Personnelles du Client au sens de l'article 28 GDPR (article 35 de la loi n°78-17 du 6 janvier 1978). En conséquence, l’Argus s'engage (i) à ne pas traiter les Données Personnelles du Client autrement que dans les conditions du Contrat et (ii) à ne procéder à aucun autre Traitement des Données Personnelles du Client qui ne serait pas prévu dans le Contrat, sauf sur instruction préalable écrite, documentée et légitime du Client.
6.2 L’Argus rappelle au Client que, en application de l'article 28.3.al.2 GDPR, toute instruction du Client à l’Argus qui serait susceptible d'entrainer un non-respect de la GDPR ou de la loi française sur la protection des données personnelles, entraine l'obligation pour l’Argus d'en informer immédiatement le Client. L’Argus se réserve le droit de refuser les instructions du Client qui lui sembleraient illicites au sens de l'article 82.2 GDPR. Dans ce cas, un refus écrit et documenté de l’Argus ne saurait permettre au Client de résilier le Contrat, sauf pour le Client à engager sa responsabilité à l'égard de l’Argus pour résiliation réputée "sans cause légitime" du Contrat et entrainer l'application de l'article 14.2.3.
Article 7. SECURITE DES DONNEES
Dans le cadre du Contrat, l’Argus s’engage à adopter des moyens techniques les plus optimaux possible, permettant de garantir l'intégrité, la fiabilité, la sécurité, la disponibilité et la résilience constantes des systèmes et services de traitement, la confidentialité et la traçabilité des Données Personnelles du Client.
Dans ce cadre, l’Argus s’engage à assister le Client, de façon à empêcher que les Données Personnelles soient utilisées de manière frauduleuse, que leur intégrité soit mise en danger ou que leur accès soit rendu impossible. A cet effet, il s’engage en particulier à :
- Garantir la parfaite confidentialité des Données Personnelles :
- Garantir la sécurité tant physique que matérielle de ses locaux, de façon à empêcher la destruction, la perte, l’altération, la divulgation ou à l’accès par des personnes non autorisées des Données Personnelles, qu’il stocke ou, plus généralement, qu’il traite d’une quelconque manière que ce soit, pour le compte du Client.
- Ne procéder à un tel accès, une telle gestion ou un tel traitement des Données Personnelles qui lui ont été rendues accessibles par le Client que dans la mesure où elles sont strictement nécessaires à la réalisation des Prestations et, en tout état de cause, à ne pas utiliser les Données Personnelles à des fins autres que celles prévues au titre du Contrat ;
- Mettre à la disposition du Client dans les délais prévus par le dans plus brefs délais, toutes les informations ou tous les documents, notamment un Plan d’Assurance Sécurité, qui lui sont nécessaires pour démontrer le respect de ses obligations au titre du Règlement Européen et de toute autre règlementation applicable en la matière ;
- Ne pas permettre l’accès, ni ne procéder à aucune transmission, extraction, communication, copie ou autre transfert, quelle qu’en soit la forme, de Données Personnelles vers un Destinataire situé dans un Etat hors de l’Union Européenne, sauf à ce que :
o le Client ait préalablement donné son accord et son agrément écrits et ;
o l’hébergement ou toute autre forme de stockage ou de conservation des Données Personnelles soit effectué dans les conditions de sécurité telles que prévues au présent Contrat.
Article 8. ENGAGEMENTS DE L’ARGUS
8.1 A partir du 25 mai 2018, l’Argus s'engage à présenter au Client et à première demande, des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le Traitement des Données Personnelles du Client réponde aux exigences de la RGPD et garantisse la protection des droits des Personnes Concernées dont les Données Personnelles sont traitées par le Client via le Service (art.28.1 GDPR).
8.2 L’Argus s'engage à ne traiter techniquement les Données Personnelles du Client que pour rendre le Service, à l’exclusion de tout autre usage, au profit de l’Argus ou de tiers. Conformément à la GDPR, les Données Personnelles sont stockées et traitées par l’Argus sur des serveurs situés exclusivement sur le territoire de l’Union Européenne et ne font l'objet d'aucun transfert hors de l’Union Européenne sans l'accord préalable et écrit du Client, sauf en application d'une décision d'adéquation de l'Union Européenne (Argentine, Canada, Israël, Nouvelle-Zélande, Suisse, Uruguay et "Privacy Shield") qui permet à un prestataire d'exporter des données personnelles sans autorisation spécifique.
Article 9. REGISTRE DES OPERATIONS DE TRAITEMENT DES DONNEES PERSONNELLES
Conformément à l'article 30.1 GDPR et au plus tard le 25 mai 2018, le Client s'engage à tenir à jour une liste des Traitements des Données Personnelles du Client comportant :
- a) le nom et les coordonnées du Client et du Data Protection Office s'il en a été désigné un par le Client ;
- b) les Finalités du Traitement de Données Personnelles ;
- c) une description des catégories de Personnes Concernées et des catégories de données personnelles ;
- d) les catégories de Destinataires auxquels les Données Personnelles ont été ou seront communiquées, y compris les Destinataires hors UE ;
- e) le cas échéant, les transferts de Données Personnelles vers un pays hors UE, y compris son identification ;
- f) dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de Données Personnelles ;
- g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles reprenant les dispositions du Contrat.
Article 10. NOTIFICATION DES FAILLES DE SECURITE
10.1 Conformément à l'article 33 GDPR et au plus tard à compter du 25 mai 2018, les Parties s’engagent à informer le Client, sans délai après en avoir pris connaissance, de toute atteinte à la sécurité des Données Personnelles transmises ou traitées via le Service lorsque cette atteinte entraîne, de manière accidentelle ou illicite, l'accès ou la divulgation non autorisée, l'altération, la perte ou la destruction de Données Personnelles. Il appartient alors à la Partie concernée d'en informer (i) l'Autorité de contrôle dont il dépend, et (ii) les Personnes Concernées quand cette atteinte à la sécurité des données personnelles "est susceptible d'engendrer un risque élevé pour les droits et libertés".
10.2 A première demande d’une des Parties, l’Argus fournira par écrit l'ensemble des éléments visés à l'article 33.3 GDPR, à savoir :
(a) la nature de la violation de Données Personnelles y compris, si possible, les catégories et le nombre approximatif de Personnes Concernées par la violation et les catégories et le nombre approximatif d'enregistrements de Données Personnelles concernés ;
(b) le nom et les coordonnées du DPO ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
(c) les conséquences probables de la violation de Données Personnelles ;
(d) les mesures prises ou que la Partie concernée propose de prendre pour remédier à la violation de Données Personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
10.3 Les Parties s'engagent à documenter par écrit toute violation de Données Personnelles, en indiquant les faits concernant la violation des Données Personnelles, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée sera tenue à disposition de l’autre Partie et/ou de la CNIL ou de toute autre autorité de contrôle compétente.
Article 11. Sous-traitance ultérieure
11.1 Les obligations de l’Argus, peuvent être exécutées en sous-traitance par un prestataire de l’Argus. Conformément à l'article 28 GDPR et au plus tard le 25 mai 2018, de manière générale, l’Argus s'engage à ne pas sous-traiter ses propres prestations à un sous-sous-traitant qui ne respecterait pas la GDPR et privilégiera dans son choix des prestataires ayant adhéré à un code de conduite [article 40 GDPR] ou faisant l'objet d'une certification [article 42 GDPR]. Si le sous-traitant de l’Argus ne remplit pas ses obligations en matière de protection des Données Personnelles, l’Argus demeurera pleinement responsable à l'égard du Client de tout manquement aux obligations de la GDPR par son sous-traitant.
11.2 Pour les cas où l’Argus fait appel à un sous-traitant pour réaliser certaines prestations, l’Argus tiendra à disposition du Client une liste de ces sous-traitants et s’engage à tenir informé le Client en cas de changement de sous-traitant.
11.3 En plus de définir l'objet et la durée du Traitement de Données Personnelles, la nature et la Finalité, le type de Données Personnelles et les catégories de Personnes Concernées (article 28.3 al.1 GDPR), chaque contrat de sous-traitance conclu par l’Argus devra prévoir à minima un engagement du sous-traitant sur tous les points suivants :
(a) de ne traiter les données personnelles que sur instruction documentée de l’Argus et/ou du Client, y compris en ce qui concerne les transferts de données vers un pays hors UE (à moins qu'il ne soit tenu d'y procéder en vertu du droit français pour l’Argus ; dans ce cas, l’Argus s'engage à informer le Client de cette obligation juridique avant le Traitement de Données Personnelles, sauf si le droit français interdit une telle information pour des motifs importants d'intérêt public);
(b) de veiller à ce que les personnes qu'il autorise à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité ;
(c) de prendre toutes les mesures de sécurité requises par l'article 32 GDPR ;
(d) de ne pas sous-sous-traiter à son tour tout ou partie des prestations à accomplir pour l’Argus et le Client à un autre prestataire sans que l'ensemble des engagements visés au présent article soient respectée par le sous-traitant du sous-traitant ;
(e) d'aider le Client, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les Personnes Concernées le saisissent en vue d'exercer leurs droits ;
(f) d'aider le Client à garantir le respect des obligations (i) de sécurisation [art.32 GDPR], (ii) de notification à la CNIL des éventuelles failles de sécurité [art.33 GDPR], (iii) d'information à toute Personne Concernée par la faille de sécurité et toute éventuelle fuite de données [art.34 GDPR], (iv) de réalisation préalable d'une étude d'impact [art.35 GDPR] et (v) de consultation obligatoire à la CNIL en cas de réalisation d'une étude d'impact, compte tenu de la nature du Traitement de Données Personnelles et des informations à la disposition du sous-sous-traitant;
(g) selon le choix du Client, de supprimer toutes les données ou de les lui renvoyer au terme de sa prestation, et de détruire les copies existantes, à moins que le droit français n'exige du sous-traitant la conservation des données du Client ;
(h) de mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections, par le Client (ou un auditeur) et contribuer à ces audits.