ACCORD DE SOUS-TRAITANCE DE DONNEES
Le Client a contractuellement demandé à CLEMENT JOHAN, entrepreneur individuel, exerçant sous le nom commercial CALLEO INFORMATIQUE, dont l’activité est domiciliée sis 1, rue Anita Conti à Vannes (56000), portant le numéro SIRET 892 062 548 00029 (le « Prestataire ») de lui fournir des Prestations. A cette fin, les Parties ont conclu un Contrat. A compter de sa signature par les Parties du présent accord de sous-traitance de données (l’ « Accord ») est considéré comme une annexe audit Contrat.
ARTICLE 1 ER : DEFINITIONS
Les définitions prévues à l’article « Définitions » des CG sont applicables au présent Accord.
En outre, dans le présent Accord, les termes visés ci-dessous auront la signification suivante :
« Données Personnelles » : signifie les données à caractère personnel au sens de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa version en vigueur, et du RGPD ;
« Réglementation sur la Protection des Données » : désigne (i) les lois et règlements applicables ; et (ii) les directives relatives à la protection des données (dont notamment les lignes directrices des autorités de contrôle), concernant la sécurité, la confidentialité, la protection ou la confidentialité des Données Personnelles, dans leur version modifiée ou remise en vigueur, le cas échéant y compris (sans limitation et dans la mesure où elles sont applicables) le RGPD et la loi Informatique & Libertés ;
« RGPD » : désigne le Règlement Européen sur la Protection des Données dénommé Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
ARTICLE 2 : OBJET & DUREE
Si, dans le cadre des Prestations fournis au titre du Contrat, le Prestataire agit en qualité de sous-traitant ou de sous-traitant ultérieur de Données Personnelles pour le compte du Client (qui agit en tant que responsable du traitement des Données Personnelles ou de sous-traitant), alors les termes du présent Accord s’appliquent aux Parties.
Le présent Accord régit les détails du traitement de Données selon l’article 28 du RGPD. Il prévaut sur tout autre accord divergeant entre les Parties concernant le traitement de Données Personnelles. Il ne fait pas obstacle à l’application des dispositions du Contrat qui prévalent et, notamment sur les dispositions prévues à l’article « Responsabilité »
Le Client reste le donneur d’ordre des traitements des Données Personnelles et, dans cette mesure, seul responsable vis-à-vis des personnes concernées. Il devra ainsi s’assurer de la licéité du traitement des Données Personnelles et de la protection des droits des personnes concernées, sans préjudice de l’article 28 du RGPD. Le Prestataire ne pourra procéder à d’autres traitements que dans la mesure où la loi l’exige. A l’exception d’exigences légales, le Prestataire s’interdit l’usage des Données Personnelles pour son compte ou à d’autres fins.
Les dates de début, de fin et les conditions de résiliation du présent Accord correspondent à celle du Contrat.
ARTICLE 3 : OBLIGATIONS DU PRESTATAIRE
Le Prestataire s’engage à :
– traiter les Données Personnelles uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance ;
– traiter les Données Personnelles conformément aux instructions documentées du Client. Si le Prestataire considère qu’une instruction constitue une violation de la Réglementation sur la Protection des Données, il en informe le Client ;
– garantir la confidentialité des Données Personnelles traitées dans le cadre du Contrat ;
– veiller à ce que les personnes autorisées à traiter les Données Personnelles :
• s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
• reçoivent la formation nécessaire en matière de protection des Données Personnelles ;
– prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut
ARTICLE 4 : OBLIGATIONS DU CLIENT
Le Client s’engage à :
– fournir par courrier électronique au Prestataire les données visées ci-après :
• La nature des opérations réalisées sur les Données Personnelles ;
• La ou les finalité(s) du traitement des Données Personnelles ;
• La ou les catégorie(s) de Données Personnelles traitées :
• La ou les catégorie(s) de personnes concernées ;
• Le cas échéant, les coordonnées du délégué à la protection des données du Client ;
– documenter par écrit toute instruction concernant le traitement des Données Personnelles par le Prestataire ;
– veiller, au préalable et pendant toute la durée de l’Accord, au respect des obligations prévues par le RGPD.
ARTICLE 5 : LOCALISATION DES DONNEES PERSONNELLES
Sauf disposition contraire du présent Accord, le traitement des Données Personnelles n’est effectué que dans un état membre de l’Union Européenne ou dans un pays adéquat au sens du RGPD.
Si le Prestataire procède à un transfert des Données Personnelles en dehors de l’Union Européenne, il devra informer au Client par le même moyen que celui prévu à l’article « Sous-traitant ultérieur » que les conditions légales sont satisfaites dans le pays tiers conformément à aux articles 44 à 49 du RGPD.
ARTICLE 6 : SOUS-TRAITANT ULTERIEUR
Le Client donne au Prestataire, par le présent Accord, son autorisation écrite et générale de sous-traiter le traitement des Données Personnelles à un sous-traitant ultérieur dont la liste exhaustive et la localisation des données à caractère personnel afférente est accessible à l’adresse URL suivante :
Sous traitant N°1: Acronis – localisation des données à caractère personnel: UE
Information complémentaire:
1) https://www.acronis.com/fr-fr/company/privacy/
2) https://www.acronis.com/en-us/company/privacy/#protection
Sous traitant N°2: O2Switch – localisation des données à caractère personnel: UE
Information complémentaire:https://www.o2switch.fr/du-rgpd.pdf
Sous traitant N°3: Microsoft – localisation des données à caractère personnel: Hors de l’UE
Information complémentaire: https://privacy.microsoft.com/fr-fr/privacystatement
A minima 15 jours calendaires à l’avance, le Prestataire informe le Client de tout changement prévu concernant l’ajout ou le remplacement de sous-traitants ultérieurs en modifiant en amont la liste de ces derniers à l’adresse URL susmentionnée.
Le Prestataire veille à ne sélectionner que des sous-traitants ultérieurs qui assurent au moins le même niveau de protection des données à caractère personnel que les précédents. Le Prestataire reste pleinement responsable des actes et omissions de chaque sous-traitant ultérieur.
En cas d’objection au changement ou à l’ajout de sous-traitant ultérieur par le Client, le Prestataire pourra lui fournir toutes les informations raisonnables demandées par ce dernier pour apprécier la pertinence du nouveau sous-traitant ultérieur sélectionné. Si l’objection persiste, le Client sera réputé avoir pris l’initiative de rupture du présent Accord.
ARTICLE 7 : RELATION AVEC LES PERSONNES CONCERNEES
Il appartient au Client de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données et de recueillir leur consentement conformément à la Réglementation sur la Protection des Données.
Lorsque les personnes concernées exercent auprès du Prestataire des demandes d’exercice de leurs droits, le Prestataire adresse ces demandes au Client.
ARTICLE 8 : NOTIFICATION DES VIOLATIONS DES DONNEES PERSONNELLES
Le Prestataire notifie au Client toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par courrier électronique. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
ARTICLE 9 : SECURITE
Le Prestataire met en œuvre et maintient toutes les mesures organisationnelles et techniques adéquates et appropriées et les contrôles pour :
– empêcher le traitement non autorisé ou illégal des Données Personnelles, le vol, l’utilisation ou la divulgation de ces Données Personnelles ;
– protéger contre toute menace ou tout risque prévisible pour la sécurité, la confidentialité des Données Personnelles ; et
– détecter et prévenir le traitement non autorisé ou l’accès non autorisé aux Données Personnelles.
ARTICLE 10 : SORT DES DONNEES PERSONNELLES
A la fin du Contrat, le Prestataire doit détruire dans un délai de trois (3) mois suivant l’expiration du Contrat ou plus tôt sur demande expresse du Client toutes les Données Personnelles, ainsi que toutes les copies sous quelque forme et sur quelque support que ce soit, qu’il a en son pouvoir, sa possession ou sous son contrôle. Par exception, si le Client et le Prestataire sont en négociation au sens de l’article 1112 du code civil pour une nouvelle Commande, le Prestataire conserve les Données Personnelles pendant la durée des négociations et un délai de trois (3) mois suivant la fin des desdites négociations.
Ne sont pas concernés par la destruction ou l’anonymisation toutes les Données Personnelles que le Prestataire, agissant en qualité de responsable de traitement, est tenu de conserver en vertu de ses obligations contractuelles ou de ses obligations légales comme prévu à l’article « Données Personnelles » des CG.