ACCORD DE PROTECTION DES DONNÉES ENTRE RESPONSABLE DE TRAITEMENT ET SOUS-TRAITANT

Version du 25/02/2021

ENTRE LES SOUSSIGNÉS

La société ______________________

Forme ________________________ au capital de __________________, immatriculée au R.C.S. de ____________________ sous le numéro _______________, dont le siège social est sis _________________________, représentée par M ___________________.

Ci-après « le Responsable de Traitement », ou “le Client” d’une part,

IOGA, société par actions simplifiée au capital de 30 000 € dont le siège social est situé 27 avenue Pablo Picasso 93400 SAINT OUEN, immatriculée au registre du commerce et des sociétés sous le numéro 852 548 098, représentée par agissant en sa qualité de Président ayant tous pouvoirs à l’effet des présentes,

Ci-après « le Sous-Traitant » ou “le Prestataire”, d’autre part,

le Responsable de Traitement et le Sous-Traitant étant ci-après nommés « les Parties » et individuellement « une Partie ».

Table des matières

1 EXPOSÉ 2

2 DÉFINITIONS 2

3 OBJET 2

4 DURÉE 2

5 OBLIGATIONS DU SOUS-TRAITANT VIS-À-VIS DU RESPONSABLE DE TRAITEMENT 2

5.1 Finalités 3

5.2 Instructions 3

5.3 Confidentialité 3

5.4 Privacy by design 3

5.5 Sous-traitance ultérieure 3

5.6 Information des personnes concernées 4

5.7 Exercice des droits des personnes 4

5.8 Violations de données à caractère personnel 4

5.9 Assistance au Responsable de Traitement 5

5.10 Mesures techniques et organisationnelles 5

5.11 Sort des Données 5

5.12 Interlocuteur privilégié 5

5.13 Registre des catégories de traitement 5

5.14 Documentation 6

6.1 Données 6

6.2 Instructions 6

6.3 Conformité au RGPD 6

6.4 Supervision 6

7 DISPOSITIONS GÉNÉRALES 6

ANNEXE 1 - DESCRIPTION DES TRAITEMENTS CONFIÉS AU SOUS-TRAITANT 8

ANNEXE 2 - DÉTAILS DES TRAITEMENTS & SOUS-TRAITANTS ULTÉRIEURS 9

EXPOSÉ

Les parties ont conclu un contrat de prestation de services (ici appelé « contrat principal ») et qualifié de « sous-traitance » au sens du RGPD en date du contrat principal.

Le contrat principal auquel se rattache le présent accord peut procéder indifféremment d’une convention écrite, d’un bon de commande, de conditions particulières et/ou générales acceptées ou encore d’une offre et d’une acceptation sous quelque forme.

Il conduit le Responsable de traitement à confier des données à caractère personnel pour l’exécution des prestations confiées au Sous-traitant et résumées en annexe (annexe 1).

En additif à ce contrat et pour une exécution conforme de la sous-traitance avec la réglementation européenne et en particulier le Règlement Général de la Protection des Données (UE) 2016/679 entré en vigueur en date du 25 mai 2018 (ci-après « le RGPD »), les parties conviennent des clauses contractuelles du présent accord qui s’appliqueront à leur relation de sous-traitance et le cas échéant à toute sous-traitance ultérieure. Il est ici précisé que ces clauses sont adoptées contractuellement en l’absence de clauses type réglementées. Elles intègrent les dispositions du RGPD et viennent compléter le contrat principal sur les points évoqués ci-dessous.

DÉFINITIONS

Pour la bonne compréhension des présentes clauses s’appliquant à toutes relations de prestations de services (désignée « sous-traitance ») portant sur des données à caractère personnel, les termes employés dans ces clauses (données, responsable de traitement, sous-traitant, etc.) auront de convention expresse, la définition que le RGPD (notamment son article 4) leur attribue.

OBJET

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018, ci-après désigné « le règlement européen sur la protection des données » (ou « RGPD » ou « GDPR »).

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable de traitement, les opérations de traitement de données à caractère personnel qui lui seront confiées, décrites en annexe 1, afin de garantir aux personnes concernées et au Responsable de Traitement, la sécurité, la disponibilité, la confidentialité et la protection, et pour l’exécution desquelles le Responsable de Traitement met à la disposition du Sous-Traitant les informations nécessaires et instructions particulières s’il y a lieu, listées à l’annexe 1.

DURÉE

Les présentes clauses ont vocation à s’appliquer à compter de la signature du présent accord pendant toute la durée du contrat principal. Les présentes clauses prennent fin de plein droit à la fin du contrat principal, sauf les dispositions, notamment de confidentialité, qui survivent à la fin du contrat principal.

Lorsque le contrat principal a pris effet avant la signature des présentes clauses, le Sous-Traitant s’engage à prendre toutes les mesures nécessaires pour respecter les présentes clauses, s’il ne l’a pas déjà fait à son initiative, par anticipation de la signature des présentes, pour intégration dans son organisation, des dispositions du RGPD.

OBLIGATIONS DU SOUS-TRAITANT VIS-À-VIS DU RESPONSABLE DE TRAITEMENT

Le Sous-Traitant s'engage à :

Finalités

Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance.

Instructions

Traiter les données conformément aux instructions du Responsable de Traitement.

Si le Sous-Traitant considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Responsable de Traitement.

En outre, si le Sous-Traitant procède ou est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable de Traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ; il s’engage à effectuer tous transferts dans le respect des Clauses Contractuelles Type des contrats de transfert de données personnelles adoptées par la Commission européenne.

Confidentialité

Garantir la confidentialité des données à caractère personnel traitées dans le cadre du contrat principal.

Veiller à ce que toutes personnes autorisées à traiter les données à caractère personnel en vertu du contrat principal :

● s’engagent contractuellement à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;

● reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

Privacy by design

Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et par défaut.

Sous-traitance ultérieure

Lorsque le Sous-Traitant entend faire appel, de son initiative, à un autre sous-traitant, pour mener une partie des activités de traitement qui lui sont confiées par le Responsable de Traitement, notamment à un fournisseur de service essentiel à la mise en œuvre des solutions du Sous-Traitant utilisées par le Client, le Sous-Traitant ne pourra faire appel à un autre sous-traitant (« Sous-traitant Ultérieur ») que pour mener des activités de Traitement spécifiques. En Annexe 2 du présent contrat, puis à la demande du Client, le Sous-traitant met à disposition du Client une liste des Sous-traitants Ultérieurs intervenant dans le cadre du Contrat, notamment via une page dédiée de son site Web. En cas de modification de cette liste de Sous-traitants Ultérieurs, le Client a la possibilité d’en être averti au moins dix (10) jours calendaires avant que ladite modification soit effective, par courriel l’informant d’un projet de modification de la liste des sous-traitants ultérieurs. La notification prendra la forme d’un courriel envoyé à une liste de diffusion à laquelle le Client devra être abonné, la demande d’abonnement se faisant en contactant le Sous-Traitant. Dans les cinq (5) jours calendaires suivant la réception de la notification, le Client aura la possibilité de faire valoir ses objections, fondées sur un défaut d’adéquation aux règles et lois qui lui sont applicables. Au-delà de ce délai, la modification de la liste des sous-traitants ultérieurs sera réputée acceptée sans réserve par le Responsable de Traitement. Le Responsable de Traitement reconnaît que certains Sous-traitants Ultérieurs sont essentiels à la fourniture des Services et que s'opposer à la sous-traitance confiée à certains Sous-traitants Ultérieurs peut empêcher le Prestataire d'offrir les Services au Responsable de Traitement. En cas d’objection fondée et irrésolvable, le Client aura la possibilité de mettre fin au Contrat selon des conditions qui seront établies entre les Parties par voie d’avenant. Le Sous-traitant veille à ce que chaque Sous-traitant Ultérieur présente des garanties adéquates au regard des instructions du Client, de la Réglementation relative à la Protection des Données relativement aux mesures techniques et organisationnelles adoptées pour le Traitement des Données à Caractère Personnel et s’assure que chaque Sous-traitant Ultérieur cesse immédiatement le Traitement des Données à Caractère Personnel si ces garanties viennent à faire défaut. Si un Sous-traitant Ultérieur transfère tout ou partie des Données à Caractère Personnel en dehors d’un pays de l’Union Européenne ou d’un pays ayant fait l’objet d’une décision d’adéquation officielle de la Commission Européenne, le Sous-Traitant vérifie et peut prouver à chaque instant l’existence de garanties appropriées offertes par ledit Sous-traitant Ultérieur en ce qui concerne la protection des Données à Caractère Personnel. Si un Sous-traitant Ultérieur ne remplit pas ses obligations en matière de protection des Données à Caractère Personnel, le Sous-Traitant demeure pleinement responsable devant le Client de l’exécution par le Sous-traitant Ultérieur de ses obligations. Le Sous-Traitant s’assure que chaque Sous-traitant Ultérieur est soumis à des obligations de confidentialité adéquates et qu’il s’engage à respecter les obligations du présent Accord de Sous-traitance pour le compte et selon les instructions du Client, par un accord écrit ayant un contenu similaire à celui de l’Accord de Sous-traitance. L’autorisation éventuelle donnée par le Responsable de traitement au Sous-Traitant pour lui permettre l’intervention d’un tiers ou prestataire en sous-traitance, ne décharge en rien le Sous-Traitant signataire des présentes de sa responsabilité envers ce dernier quant au respect des règles de protection des données par tout intervenant à son initiative.

Information des personnes concernées

Il appartient au Responsable de Traitement de fournir l’information qui est due, conformément à la législation, aux personnes concernées par les opérations de traitement, au moment de la collecte des données ou ultérieurement, de préférence avant la mise en œuvre du traitement sous-traité. Le Sous-Traitant doit ainsi transmettre spontanément au Responsable de Traitement toute information relative aux traitements qu’il effectue pour le compte du Responsable de Traitement et qui doit être apportée aux personnes concernées, notamment en ce qui concerne les transferts de données dans des pays extérieurs à l’UE et les mesures techniques et organisationnelles par lui prises pour le traitement conforme des données. Si le Sous-Traitant constate que les informations apportées peuvent ne pas être suffisantes à l’information des personnes, le Sous-Traitant doit, avant toute intervention de sa part, renseigner le Responsable de Traitement des informations complémentaires spécifiques à l’objet du traitement devant être apportées aux personnes dont les données sont traitées.

5.7 Exercice des droits des personnes

Dans la mesure du possible, le Sous-Traitant doit aider le Responsable de Traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées, notamment droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées par le traitement des données à caractère personnel exercent auprès du Sous-Traitant des demandes d’exercice de leurs droits, le Sous-Traitant doit adresser ces demandes sans délai après leur réception, au moyen d’un courrier électronique adressé au Responsable de Traitement (à son DPO s’il en désigné un ou, à défaut, à un point de contact idoine et prédéfini entre les Parties), lui apportant toutes informations utiles concernant le traitement effectué par le Sous-Traitant, pour permettre au Responsable de Traitement d’y répondre. L’adresse de courriel que le Sous-traitant doit utiliser est la suivante : xxxxxxxxxxx@yyyyyyyyyyy.tld.

Violations de données à caractère personnel

Le Sous-Traitant notifie au Responsable de Traitement toute violation de données à caractère personnel, sans délai, après en avoir pris connaissance et par le moyen suivant : courrier électronique envoyé à xxxxxxxxxxx@yyyyyyyyyyy.tld. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente et, s’il y a lieu, aux personnes concernées, lorsque cette violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Le Sous-Traitant doit préciser au Responsable de Traitement, au minimum, les informations suivantes : la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés, les coordonnées du DPO actuel ou, à défaut, d'un point de contact auprès duquel des informations supplémentaires peuvent être obtenues, la description des conséquences probables de la violation, la description des mesures prises ou qu’il est proposé de prendre pour remédier à la violation, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

Assistance au Responsable de Traitement

Aider le Responsable de Traitement dans le cadre du respect de ses obligations : Le Sous-Traitant aide le Responsable de Traitement à sa demande, pour répondre aux demandes des personnes ou d’une autorité, et s’il y a lieu, réaliser les analyses d’impact concernant le traitement sous-traité et participer aux consultations préalables auprès de l’autorité de contrôle.

Mesures techniques et organisationnelles

Mettre en œuvre les mesures appropriées : Le Sous-Traitant s’engage à mettre en œuvre les mesures techniques et organisationnelles garantissant un niveau de service adapté, notamment des mesures de sécurité adaptées au risque, le chiffrement des données à caractère personnel, les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique, les moyens permettant de garantir l’exercice des droits des personnes concernées notamment par le truchement de mesure destinées à la pseudonymisation ou à l’anonymisation des données à caractère personnel, et des procédures visant à tester, à analyser et à évaluer régulièrement l'efficacité desdites mesures techniques et organisationnelles.

Sort des Données

Assurer le sort des données au terme de la prestation de services : Le Sous-Traitant s’engage à détruire ou à transmettre au Responsable de Traitement toutes les données à caractère personnel en sa possession et traitées dans le cadre de la relation contractuelle entre les Parties, selon la demande de ce dernier, aux fins de destruction ou d’envoi des données à caractère personnel à toute entité que le Responsable de Traitement lui désignera. Le Sous-Traitant s’engage à détruire toutes les copies existantes dans ses systèmes d’information et/ou ceux de ses sous-traitants éventuels et une fois détruites, à en justifier par écrit.

Interlocuteur privilégié

Désigner un interlocuteur privilégié : Le Sous-Traitant doit communiquer au Responsable de Traitement le nom et les coordonnées de la personne ou du service en charge compétent pour en ce qui concerne la protection des données à caractère personnel. Ce peut être un délégué à la protection des données (DPO). Tout changement ultérieur relativement à ce point de contact doit être notifié dans les plus brefs délais au Responsable de Traitement. Le Sous-Traitant a désigné un point de contact, dont l’adresse de courriel est dpo@ioga.fr.

Registre des catégories de traitement

Le Sous-Traitant déclare être en capacité de produire, sur simple demande du Responsable de Traitement ou de toute autorité compétente, un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de Traitement comprenant au moins :

● le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, des délégués à la protection des données (le sien, celui du Responsable de Traitement et des éventuels sous-traitants ultérieurs) ;

● les catégories de traitements effectués pour le compte du Responsable du Traitement,

● les éventuels transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale (et, dans le cas des transferts visés à l'article 49, § 1, 2^ème alinéa du RGPD, les documents attestant de l'existence de garanties appropriées),

● dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins, les mesures décrites au point 11 ci-dessus.

Documentation

Le Sous-Traitant s’engage à mettre à la disposition du Responsable de Traitement la documentation nécessaire, dont les informations de son registre visé à la clause ci-dessus concernant les traitements effectués pour le compte du Responsable de Traitement, pour démontrer le respect de toutes ses obligations, et à permettre la réalisation de contrôles, en tous lieux où sont exécutés les traitements, y compris audits et inspections, par le Responsable du Traitement ou tout auditeur qu'il aura mandaté, et contribuer avec la transparence requise, à la réalisation de ces audits.

6 OBLIGATIONS DU RESPONSABLE DE TRAITEMENT VIS À VIS DU SOUS-TRAITANT

Le Responsable de traitement s’engage à :

Données

Fournir au Sous-Traitant, en conformité avec le RGPD, les données appelées à être traitées et/ou les moyens et autorisations de collecter et de traiter lesdites données en application du contrat principal et du présent accord.

Instructions

Fournir toute instruction utile et documentée concernant le traitement des données par le Sous-Traitant.

Conformité au RGPD

Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD lui incombant, et notamment à l’information ou au consentement des personnes lorsque celui-ci est nécessaire au traitement mis en œuvre, et à la remontée au Sous-traitant des oppositions et retraits de consentement.

Supervision

Superviser le traitement, réaliser les audits et les inspections auprès du Sous-traitant et en tous lieux où se trouvent mis en œuvre les traitements.

DISPOSITIONS GÉNÉRALES

Le présent accord complète le contrat principal relatif à la prestation de services confiée au Sous-Traitant. Il annule et remplace toute clause contraire ou contradictoire du contrat principal auquel il se rattache.

Toutes autres clauses non affectées par le présent accord, subsistent, à l’exception toutefois des clauses limitatives ou exonératoires de la responsabilité du Sous-Traitant pouvant avoir été stipulées par le contrat principal, qui se trouvent en tous les cas, privées d’effet pour le cas de manquement à la protection des données.

Le Sous-Traitant se réserve le droit de modifier ou de mettre à jour le présent Accord. Sous réserve que l’Accord révisé ne viole pas les réglementations applicables au Client, en continuant d'accéder ou d'utiliser les services du Sous-traitant après l'entrée en vigueur de ces révisions, le Client accepte d’être lié par l'Accord révisé. La dernière version de cet accord en vigueur peut généralement être trouvée sur le site web du Sous-traitant et peut toujours être mise à disposition du Responsable de traitement sur simple demande. En cas de modification du présent Accord, le Client a la possibilité d’en être averti au moins dix (10) jours calendaires avant que ladite modification soit effective, par courriel l’informant d’un projet de modification de l’accord. La notification prendra la forme d’un courriel envoyé à une liste de diffusion à laquelle le Client devra être abonné, la demande d’abonnement se faisant en contactant le Sous-traitant. Dans les cinq (5) jours calendaires suivant la réception de la notification, le Client aura la possibilité de faire valoir ses objections, fondées sur un défaut d’adéquation aux règles et lois qui lui sont applicables. Au-delà de ce délai, la modification de l’Accord sera réputée acceptée sans réserve par le Responsable de Traitement. En cas d’objection fondée et irrésolvable, le Client aura la possibilité de mettre fin au Contrat selon des conditions qui seront établies entre les Parties par voie d’avenant.

Dans l’hypothèse où des clauses type réglementées seraient adoptées, il est entendu que les présentes clauses seront remplacées par les clauses type contraires ou contradictoires, qui s’y substitueraient.

Tout litige afférant à la conclusion, l’exécution ou l’inexécution, l’interprétation des règles de protection des données sera soumis à la loi du pays du Responsable de Traitement.

Fait à _____________________________ le ________________________________

Pour le Sous-traitant Pour le Responsable de traitement

ANNEXE 1 - DESCRIPTION DES TRAITEMENTS CONFIÉS AU SOUS-TRAITANT

Service(s) ou prestation(s) fourni(s) en application du contrat principal :

- Fourniture d’une plateforme SaaS (Software as a Service) de digitalisation des processus de transfert et de capitalisation des connaissances, notamment par le biais d’interviews vidéo.

Nature des opérations réalisées sur les données :

- Collecte

- Enregistrement

- Stockage

- Utilisation aux fins de rendre les services ou prestations ci-dessus

- Transfert

- Restitution

- Suppression

Finalité(s) du traitement :

- Digitalisation des processus de transfert et de capitalisation des connaissances, notamment par le biais d’interviews vidéo

- Gestion et optimisation du suivi des processus de transfert et de capitalisation des connaissances

Données à caractère personnel traitées :

- Etat civil, identité, données d'identification, images… : Nom, prénom, numéro de téléphone professionnel, adresse postale professionnelle, adresse email professionnelle de la personne concernée, fonction, condensat asymétrique du mot de passe d'accès au service IOGA

- Données de connexion (adresse IP, logs, etc.) : Adresse IP de connexion, historique de navigation, détails techniques des terminaux, langue du navigateur

- Toute catégorie de données contenues dans un document versé au sein de l’application ou une vidéo enregistrée par le Client ou une personne autorisée par le Client à utiliser l'application.

Catégories de personnes concernées :

- Employé ou collaborateur du Client

- Professionnel invité à collaborer au sein de la plateforme par une personne des catégories précédentes

- Toute catégorie de personne dont des données la concernant sont contenues dans une vidéo enregistrée par ou pour le Client, dans un document versé au sein de l’application par le Client ou une personne autorisée par le Client à utiliser l'application.

Informations nécessaires suivantes fournies ou à fournir par le Responsable de Traitement pour l’exécution du service :

- Coordonnées des utilisateurs de la solution, notamment adresse email desdits utilisateurs.

- Coordonnées des utilisateurs administrateurs de la solution qui pourront créer des utilisateurs de la solution, notamment adresse email desdits administrateurs.

Instructions particulières du responsable de traitement :

Compléments, s’il y a lieu :