- Description du traitement – Le Prestataire (ci-après, le « sous-traitant ») est autorisé́ à traiter pour le compte du Client (ci-après, le « responsable de traitement ») les données à caractère personnel nécessaires pour l’utilisation du Produit et la prestation des Services.
La nature des opérations réalisées sur les données est limitée à la collecte, la structuration, la conservation, la modification, la consultation, l’utilisation, la communication par transmission, la diffusion ou l’effacement.
Le traitement a pour finalité de permettre le bon fonctionnement du Produit (exemple : création des droits pour accéder au Produit) et/ou d’offrir le bénéfice au responsable du traitement de toutes les fonctionnalités du Produit (exemple : conservation des données des personnes de contact des partenaires d’affaires du responsable du traitement).
Les catégories de personnes concernées et les données à caractère personnel traitées sont :
| CATEGORIES DE PERSONNES CONCERNEES | DONNEES PERSONNELLES TRAITEES |
| Les utilisateurs | · Nom
· Prénom · Adresse email · Numéro de téléphone/facsimile · Langue |
| Les partenaires d’affaires du responsable du traitement ou les personnes de contact au sein de ses partenaires d’affaires | · Nom
· Prénom · Numéro d’identification · Fonction · GSM · Numéro de téléphone/facsimile · Adresse |
- Durée du traitement – Les données personnelles seront traitées par le sous-traitant pendant la durée des Commandes et jusqu’à l’expiration de la période de trente (30) jours prévue pour la réversibilité des données comme stipulé à l’article XII. c des conditions générales.
- Obligations du sous-traitant – Le sous-traitant s’engage à :
- Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance ;
- Traiter les données conformément aux instructions documentées du responsable de traitement. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
- Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat s’engagent à respecter la confidentialité́ ou soient soumises à une obligation légale appropriée de confidentialité.
- Sous-traitance – Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Le responsable de traitement dispose d’un délai de trente (30) jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu.
Le sous-traitant informe d’ores et déjà le responsable de traitement qu’il utilise les services de Microsoft AZURE pour l’hébergement des données faisant l’objet de la Commande ainsi que pour l’hébergement des applications et protocoles de sécurité.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
- Droit d’information des personnes concernées – Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
- Exercice des droits des personnes – Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité́ des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
- Notification des violations de données à caractère personnel – Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de vingt-quatre (24) heures après en avoir pris connaissance et par email à sa personne de contact au sein du responsable de traitement. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité́ de contrôle compétente et, le cas échéant, de la communiquer à la personne concernée.
- Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations – Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données. Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité́ de contrôle.
- Mesures de sécurité – Le sous-traitant s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : a) la pseudonymisation et le chiffrement des données à caractère personnel ; b) des moyens permettant de garantir le confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes des services de traitement ; c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans les délais appropriés en cas d’incident physique ou technique ; et d) une procédure visant à tester, à analyser, et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
- Documentation – Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
