DATA PROCESSING AGREEMENT (DPA)
Vous avez conclu un contrat avec (RE)SET dont l’objet est de vous fournir une prestation de services (le “Contrat”). Dans l’hypothèse où il résulte de l’Annexe “Traitement de données à caractère personnel” que (RE)SET traite des données personnelles pour votre compte, en qualité de sous-traitant, ce Data Processing Agreement (DPA) s’applique conformément à l’article 28 du RGPD.
***
Les obligations définies dans le présent DPA s’appliquent aux traitements pour lesquels (RE)SET agit en qualité de Sous-traitant tel que défini à l’Annexe “Traitement de données à caractère personnel”.
Lorsque (RE)SET agit en qualité de Sous-traitant, le Client agit en tant que Responsable du traitement.
Les Parties s’engagent à respecter l’ensemble des obligations prévues dans le présent DPA afin de se conformer aux dispositions de l’article 28 du RGPD.
Tous les termes et notions utilisés en lien avec la protection des Données Personnelles ont le sens qui leur est donné par la Réglementation Données Personnelles.
1. Description des Traitements de Données Personnelles pour lesquels (RE)SET agit en qualité de Sous-traitant.
Les détails des traitement de Données Personnelles effectués par (RE)SET en sa qualité de Sous-traitant pour le compte du Client, et notamment l’objet, la durée, la nature et les finalités de Traitements de Données Personnelles, les catégories de Données Personnelles, les catégories de personnes concernées, et les finalités sont précisés à l’Annexe “Traitement de données à caractère personnel”.
2. Respect des instructions documentées du Client
(RE)SET ne traite les Données Personnelles que sur instruction documentée du Client, agissant en qualité de Responsable du traitement, y compris concernant les transferts de Données Personnelles en dehors de l’Espace Economique Européen, à moins qu’il ne soit tenu d’y procéder en vertu d’une obligation prévue par le droit français auquel (RE)SET est soumise. Dans ce cas, (RE)SET informe le Client de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le Client pendant toute la durée du traitement de Données Personnelles, sous réserve que celles-ci soient fournies par écrit et qu’elles ne soient pas contradictoires avec les instructions initiales, sauf accord préalable écrit des Parties sur le changement d’instructions.
(RE)SET informe immédiatement le Client si, selon lui, une instruction donnée par le Client constitue une violation de la Réglementation Données Personnelles.
3. Limitation de la finalité
(RE)SET traite les Données Personnelles uniquement pour les finalités de traitement telles que définies à l’Annexe “Traitement de données à caractère personnel”, sauf instruction complémentaire documentée du Client.
4. Durée du traitement
(RE)SET traitera les Données Personnelles pendant la durée du Contrat.
5. Sécurité du traitement
(RE)SET met en œuvre les mesures techniques et organisationnelles précisées à l’Annexe “Traitement de données à caractère personnel” pour assurer la sécurité des Données Personnelles et qui comprennent des mesures permettant de protéger les Données Personnelles contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel ou l’accès non autorisé à de telles données (violation de données à caractère personnel). Lors de l’évaluation du niveau de sécurité approprié, les Parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.
(RE)SET n’accorde aux membres de son personnel l’accès aux Données Personnelles faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du DPA.
(RE)SET veille à ce que les personnes autorisées à traiter les Données Personnelles s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
6. Recours à des Sous-traitants Ultérieurs
(RE)SET dispose de l’autorisation générale du Client pour ce qui est du recrutement de Sous-traitants Ultérieurs sur la base d’une liste convenue et figurant à l’Annexe “Traitement de données à caractère personnel”.
(RE)SET informe par écrit le Client de tout projet de modification de cette liste par l’ajout ou le remplacement de Sous-traitants Ultérieurs au moins quinze (15) jours à l’avance, donnant ainsi au Client suffisamment de temps pour pouvoir s’opposer à ces changements avant le recrutement du ou des Sous-traitants Ultérieurs concernés. Cette information sera communiquée à l’adresse de contact fournie au moment de la contractualisation.
(RE)SET fournit au Client les informations nécessaires pour lui permettre d’exercer son droit d’opposition à savoir le nom du Sous-traitant Ultérieur, sa localisation et les activités de traitement qui lui sont confiées.
Si le Client ne soumet pas d’objection dans un délai de quinze (15) jours suivant la réception de l’information précitée, il sera considéré avoir accepté le nouveau Sous-traitant Ultérieur.
Si le Client objecte dans le délai susvisé, les Parties conviennent de se rencontrer afin de trouver une solution qui satisfera les intérêts de l’ensemble des Parties. Si aucune solution convenant à l’ensemble des Parties n’est trouvée par les Parties, le Client est en droit de mettre fin au Contrat en respectant un préavis préalable et écrit de trente (30) jours. Dans ce cas, le Client devra payer l’ensemble des sommes dues au titre des Prestations réalisées par (RE)SET au jour de la résiliation effective du Contrat.
Lorsque (RE)SET recrute un Sous-traitant Ultérieur pour mener des activités de traitement pour le compte du Client, il le fait au moyen d’un contrat qui impose au Sous-traitant Ultérieur, en substance, les mêmes obligations en matière de protection des données que celles imposées au (RE)SET en vertu du présent DPA. (RE)SET veille à ce que le Sous-traitant Ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu du RGPD.
(RE)SET demeure pleinement responsable, à l’égard du Client, de l’exécution des obligations du Sous-traitant Ultérieur conformément au contrat conclu avec le Sous-traitant Ultérieur.
7. Transferts internationaux
Le Client autorise (RE)SET à transférer des Données Personnelles en dehors de l’Espace Economique Européen dans le cadre de la réalisation de ses Prestations, ce qui constitue une instruction documentée au sens de l’article 28 du RGPD.
Le cas échéant, (RE)SET s’engage à ce que les transferts de Données Personnelles se fassent en conformité avec le Chapitre V du RGPD, et à conclure lorsque cela est légalement requis des clauses contractuelles types au sens de l’article 46 du RGPD.
8. Demandes d’exercice de droit
Le Client est pleinement responsable de l’information des personnes concernées concernant le Traitement de leurs Données Personnelles et de la réponse à leurs demandes d’exercice de droits.
(RE)SET, tenant compte de la nature du Traitement, aide le Client, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III du RGPD.
Dans l’hypothèse où (RE)SET recevrait une demande par une personne concernée concernant le Traitement de ses Données Personnelles ou l’exercice d’un droit, (RE)SET s’engage à en informer le Client dans les meilleurs délais et à ne pas donner lui-même suite à cette demande.
(RE)SET prête assistance au Client, dans la mesure du possible, pour ce qui est de remplir l’obligation qui lui incombe de répondre aux demandes des personnes concernées d’exercer leurs droits, en tenant compte de la nature du Traitement. Dans l’exécution de ses obligations conformément au présent DPA, (RE)SET se conforme aux instructions documentées du Client.
Le Client reconnaît et accepte que, dans l’hypothèse où l’assistance de (RE)SET nécessiterait des ressources importantes de sa part, le coût de son assistance pourra être facturé au Client. (RE)SET en informera alors le Client en amont afin d’obtenir son accord préalable. Si le Client ne donne pas son accord, (RE)SET fournira alors au Client une assistance raisonnable.
9. Violation de Données Personnelles
(RE)SET aide le Client à garantir le respect de ses obligations au titre de l’article 33 du RGPD, compte tenu de la nature du Traitement et des informations à la disposition de (RE)SET.
Si (RE)SET constate une Violation de Données Personnelles, (RE)SET s’engage à en informer le Client dans les meilleurs délais après en avoir pris connaissance.
L’information qui sera fournie par (RE)SET inclura, dans la mesure du possible et sous réserve des informations à la disposition de (RE)SET, la nature de la Violation de Données Personnelles, les conséquences probables de la Violation de Données Personnelles, le nombre approximatif de personnes concernées, ainsi que, le cas échéant, les mesures prises ou proposées par (RE)SET en réponse à la Violation Données Personnelles.
Le Client reconnaît et accepte que, dans l’hypothèse où l’assistance de (RE)SET nécessiterait des ressources importantes de sa part, le coût de son assistance pourra être facturé au Client. (RE)SET en informera alors le Client en amont afin d’obtenir son accord préalable. Si le Client ne donne pas son accord, (RE)SET fournira alors au Client une assistance raisonnable.
10. Obligation d’assistance au Client
(RE)SET aide, de manière raisonnable, le Client à garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont dispose (RE)SET :
1) l’obligation de procéder à une analyse d’impact relative à la protection des données lorsqu’un type de Traitement de Données Personnelles est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées;
2) l’obligation de consulter l’autorité de contrôle compétente/les autorités de contrôle compétentes préalablement au Traitement de Données Personnelles lorsqu’une analyse d’impact relative à la protection des données indique que le Traitement présenterait un risque élevé si Client ne prenait pas de mesures pour atténuer le risque;
3) l’obligation de veiller à ce que les Données Personnelles soient exactes et à jour.
(RE)SET met à la disposition du Client, à sa demande, toutes les informations nécessaires pour démontrer le respect des obligations auxquelles elle est tenue en vertu de l’article 28 du RGPD.
Si les informations communiquées ne suffisent pas à démontrer le respect des obligations de (RE)SET et sur demande écrite du Client, (RE)SET permet également la réalisation d’audits des traitements de Données Personnelles faisant l’objet d’une sous-traitance et y contribue.
Si le Client souhaite réaliser un audit, il devra en informer (RE)SET par Lettre avec Accusé de Réception soixante (60) jours ouvrés avant la réalisation de l’audit. Les Parties devront se mettre d’accord sur les modalités de l’audit en amont, étant précisé que l’audit ne peut être conduit qu’une seule fois par an, les jours ouvrés entre 9h00 et 18h00, pour une durée maximale de deux (2) jours et qu’il ne doit en aucun cas perturber l’exercice normal des activités de (RE)SET.
Si le Client fait appel à un auditeur externe, le Client s’engage à s’assurer que ledit auditeur soit soumis à des obligations de confidentialité concernant les activités de (RE)SET. Le Client s’engage à ne pas faire appel à un prestataire concurrent de (RE)SET.
(RE)SET se réserve le droit de ne pas divulguer les informations protégées par le secret des affaires, le droit de la propriété intellectuelle ou encore des accords de confidentialité en vigueur.
Le Client reconnaît et convient que, dans l’hypothèse où l’assistance de (RE)SET dans le cadre de la réalisation d’un audit nécessiterait des ressources importantes de sa part, le coût de son assistance pourra être facturé au Client. (RE)SET en informera alors le Client en amont afin d’obtenir son accord préalable. Si le Client ne donne pas son accord, (RE)SET fournira au Client une assistance raisonnable.
11. Suppression et restitution des Données Personnelles
Selon le choix du Client, (RE)SET supprimera ou renverra toutes les Données Personnelles au Client dans un délai de 6 mois à l’issue des Prestations fournies au Client, et détruira les copies existantes, à moins que (RE)SET ne soit tenue de conserver les Données Personnelles pour remplir une obligation légale.
12. Obligations du Client
Le Client s’engage à fournir à (RE)SET toutes les Données Personnelles nécessaires à l’exécution des Prestations.
Le Client s’engage à respecter l’ensemble des obligations qui lui incombent en sa qualité de responsable du traitement au titre de la Réglementation Données Personnelles.
***