Conditions relatives aux traitements de données à caractère personnel

MAJ du 17 juillet 2024

I. Objet

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le Prestataire (le « Sous-traitant ») s’engage à effectuer pour le compte du Client (« le Responsable de traitement ») les opérations de traitement de Données à caractère personnel définies ci-après ; le Traitement de Données à caractère personnel s’entendant de toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliqué à des données ou des ensembles de Données à caractère personnel.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

II. Description du traitement faisant l’objet de la Sous-traitance

Le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement les Données à caractère personnel nécessaires pour fournir le ou les service(s) commandé(s) et pouvant consister en du déploiement/ formation/ prestation/hébergement/ mise à disposition du Progiciel en mode SaaS, infogérance/assistance maintenance sur ses solutions.

L'intégralité des services commandés est décrite dans le Contrat/ la Commande passée par le Client.

La nature des opérations réalisées sur les données est la consultation, l’effacement, la destruction, l’analyse pour correction.

La ou les finalité(s) du traitement sont la réalisation des prestation commandées.

Les catégories de personnes dont les données à caractère personnel sont traitées ainsi que la nature des données à caractère personnel sont recensées par produit. 

Le Sous-traitant s'engage à :

1. traiter les données à caractère personnel uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance et dans les conditions convenues au Contrat afin de fournir les services et remplir ses obligations au titre du contrat ;

2. traiter les Données conformément aux instructions documentées du Responsable de traitement.
Si le Sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Responsable de traitement. En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;

3. garantir la sécurité et la confidentialité des Données à caractère personnel traitées dans le cadre du présent contrat, dans les conditions décrites ;

4. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;

5. Le Sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques (tel que l’hébergement). Dans ce cas, il informe préalablement et par écrit le Responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le Responsable de traitement dispose d’un délai de 10 jours à compter de la date de réception de cette information pour présenter ses objections. A défaut de manifestation du Responsable de traitement dans ce délai, ce dernier sera réputé avoir accepté cette modification ; tout refus d’ajout ou remplacement d’un sous-traitant ultérieur par le Responsable de traitement devra l’objet d’une justification de bonne foi par le Responsable de traitement. En cas de refus d'un ajout ou d'un remplacement d'un sous-traitant ultérieur par le Client, le Contrat pourra être résilié par le Client, cette résiliation ne pouvant être assimilée, en aucun cas, à une résiliation pour manquement du Prestataire. 

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes, quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

6. Droit d’information des personnes concernées

Il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

7. Exercice des droits des personnes

Dans la mesure du possible, le Sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à l’adresse que communiquera le Responsable de traitement.

8. Notification des violations de Données à caractère personnel

Le Sous-traitant notifie au Responsable de traitement toute faille de sécurité et/ou fuite de Données ayant entrainé une violation de données à caractère personnel dans les meilleurs délais, après en avoir pris connaissance et par tout moyen. Cette notification est accompagnée de toute documentation utile, afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente, au plus tard dans les 72 heures après en avoir pris connaissance.

9. Accompagnement du Sous-traitant dans le cadre du respect par le Responsable de traitement de ses propres obligations

Le Prestataire, pourra sur devis, et dans la mesure du possible, :

• Aider le Client pour la réalisation d’analyses d’impacts relatives à la protection des Données, lorsque cette analyse s’avère nécessaire ;
• Aider également le Client pour la réalisation de la consultation préalable de l’autorité de contrôle de protection des Données ;
• Mettre à la disposition du Client la documentation nécessaire pour démontrer le respect de ses obligations et pour permettre la réalisation d’audits, y compris inspections, par le Responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

10. Mesures de sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles nécessaires pour assurer la sécurité des Données à caractère personnel.

• les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique.

Le Sous-traitant s’engage en particulier à garantir la confidentialité des Données fournies par le Responsable de traitement dans le cadre de l'exécution des services :

• en ne permettant d’y accéder ou d’en avoir communication qu’aux seules personnes (y compris s’il s’agit de ses employés, ou le cas échéant de sous-traitants ou autres prestataires, en ce inclus ses propres conseils) qui justifient d’une nécessité au regard de leurs fonctions à y avoir accès ou d’en avoir communication pour les besoins de l’exécution du Contrat ;
• en prévoyant expressément dans les contrats qui lient le Prestataire à celles de ces personnes qui sont ses employés, ou le cas échéant ses sous-traitants ou autres prestataires, en ce inclus ses propres conseils, des clauses de confidentialité reprenant les exigences de celles prévues à la charge du Prestataire au titre du Contrat. 

11. Sort des données

Au terme de la prestation de services, le Sous-traitant s’engage à détruire toutes les Données à caractère personnel auxquelles il aurait eu accès, dans le cadre de la réalisation des prestations. 

12. Délégué à la protection des données

Le Sous-traitant communique sur demande, au Responsable de traitement, le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un, le référent en la matière.

Toutes questions ou demandes relatives à la protection des Données personnelles devront être adressées par courriel à l’adresse suivante : dpo@factomos.com

13. Registre des catégories d’activités de traitement

Le Sous-traitant tient par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement.

14. Documentation

Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le  Responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

15. Données internes du Responsable de traitement

En dehors de toute Prestation de service, le Client est informé que ses propres Données internes pourront être traitées par le Prestataire en tant que Responsable de Traitement, à des fins de gestion de la relation entre le Client et le Prestataire.

Ces Données sont constituées d’informations telles que nom, prénom, adresse postale, adresse électronique, téléphones des collaborateurs du Client et sont conservées par le Prestataire pendant toute la durée du Contrat. 

Dans le cadre des finalités définies ci-dessus, le Client accepte que les Données à caractère personnel susvisées le concernant soient transférées par le Prestataire à ses filiales, toutes situées dans l'Union Européenne pour les besoins de l’exécution du Contrat.  

IV. Obligations du Responsable de traitement vis-à-vis du Sous-traitant

Le Responsable de traitement s’engage à :

1. fournir au Sous-traitant les instructions documentées par écrit, relatives au traitement des Données à caractère personnel ; les parties conviennent que toute demande du Client, excédent ou modifiant les instructions de traitement font l’objet d’un devis complémentaire ;

2. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du Sous-traitant ;

3. superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant.
Il est précisé que les Progiciels mis à disposition du Client par le Prestataire, peuvent contenir des champs libres qui ne sont pas destinés à contenir des données personnelles et notamment des données sensibles. De ce fait, le Client s’engage à mettre en place, toute mesure organisationnelle et/ou technique pour s’assurer de l’utilisation conforme de ces champs par rapport au RGPD. En aucun cas, le Prestataire ne pourra engager sa responsabilité en cas d’utilisation non-conforme de ces champs.

Il est précisé que le Client en sa qualité de Responsable de Traitement conserve l’entière responsabilité des Données personnelles qui sont stockées dans les bases de dont il demeure pleinement propriétaire.