dernière mise à jour le 09 décembre 2016

ACCORD SUR LE TRAITEMENT DES DONNÉES

Cet accord de traitement des données (DPA) encadre la collaboration entre Optimy et toute organisation avec laquelle un bon de commande est signé en référence à cette page, concernant le traitement des données personnelles au sein de l'Espace économique européen ou en relation avec un pays bénéficiant d'une décision d'adéquation de la Commission de l'UE, conformément à l'article 28 du GDPR (Règlement général sur la protection des données de l'UE).

Article 1. Définitions

Aux fins du présent accord sur le traitement des données, il est entendu conformément au GDPR (règlement général de l'UE sur la protection des données) :

  • Données biométriques: Données à caractère personnel résultant d'un traitement technique spécifique relatif aux caractéristiques physiques, psychologiques ou comportementales d'une personne physique, qui permettent ou confirment l'identification unique de cette personne physique, telles que les images faciales ou les données dactyloscopiques.
  • Responsable du traitement: la personne physique ou morale, l'autorité publique, l'agence ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou des États membres, le responsable du traitement ou les critères spécifiques de sa nomination peuvent être prévus par le droit de l'Union ou des États membres. Dans le présent Accord sur le traitement des données, le Client agit en tant que Responsable du traitement et les références au "Responsable du traitement" sont des références au Client.
  • Données relatives à la santé: Données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la fourniture de services de soins de santé, qui révèlent des informations sur son état de santé.
  • Personne concernée: une personne physique identifiée ou identifiable ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique. 
  • Données génétiques: Données à caractère personnel relatives aux caractéristiques génétiques héritées ou acquises d'une personne physique qui fournissent des informations uniques sur la physiologie ou la santé de cette personne physique et qui résultent, en particulier, de l'analyse d'un échantillon biologique de la personne physique en question.
  • Données à caractère personnel: toute information concernant une personne physique identifiée ou identifiable ("personne concernée") ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
  • Violation de données à caractère personnel: violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
  • Traitement: toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
  • Sous-traitant: une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du Responsable du traitement. Dans le présent Accord sur le traitement des données, Optimy agit en tant que Responsable du traitement et les références au "Responsable du traitement" sont des références à Optimy.
  • Destinataire: une personne physique ou morale, une autorité publique, une agence ou un autre organisme, à qui les données à caractère personnel sont communiquées, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui peuvent recevoir des données à caractère personnel dans le cadre d'une enquête particulière conformément au droit de l'Union ou des États membres ne sont pas considérées comme des destinataires ; le traitement de ces données par ces autorités publiques doit être conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.
  • Sous-traitant: Un sous-traitant est un sous-traitant tiers engagé par un responsable du traitement des données qui a ou aura accès à des données à caractère personnel ou les traitera pour le compte et selon les instructions ou la supervision d'un responsable du traitement des données. Le responsable du traitement et le sous-traitant ont les mêmes obligations en ce qui concerne le GDPR.
  • Mesures techniques et organisationnelles: voir https://www.optimy.com/legal/technical-and-organisational-measures. Règles, lignes directrices et contrôles mis en œuvre par Optimy afin de maintenir la conformité avec les lois applicables en matière de protection des données et leurs exigences.
  • Tiers: une personne physique ou morale, une autorité publique, une agence ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

Article 2. Champ d'application

2.1 Le présent accord sur le traitement des données précise les obligations des parties contractantes en matière de protection des données dans le cadre de l'accord qu'elles ont signé.

2.2 L'accord sur le traitement des données s'applique à toutes les activités liées à l'accord qui impliquent le traitement de données à caractère personnel du contrôleur par le personnel du sous-traitant ou par une personne mandatée par le sous-traitant. 

2.3. Les employés, stagiaires, sous-traitants et entités affiliées deOptimy, ainsi que les sous-traitants secondaires mentionnés à l'article 7 du présent Accord sur le traitement des données, peuvent être impliqués dans le traitement des données à caractère personnel pour le compte du contrôleur.

Article 3. Objet et durée du traitement des données

3.1 Objet

3.1.1 Le contrôleur s'engage à donner des instructions au sous-traitant concernant le traitement des données à caractère personnel pour les catégories limitées suivantes de personnes concernées :

  • Organisations candidates aux projets du contrôleur (tels que, mais sans s'y limiter, les subventions ou les parrainages) ou leurs personnes de contact ;
  • Candidature individuelle aux projets du contrôleur ;
  • Fournisseur du contrôleur, y compris les anciens fournisseurs et les fournisseurs potentiels, ou leurs personnes de contact ;
  • Partenaires du contrôleur ou leurs personnes de contact ;

3.1.2 Si le Responsable du traitement a l'intention d'utiliser la Plateforme fournie par le Sous-traitant pour le traitement de données personnelles relatives à d'autres catégories de personnes concernées que celles énumérées ci-dessus, le Responsable du traitement doit impérativement informer le Sous-traitant de son intention et mentionner les catégories supplémentaires de personnes concernées dans le Formulaire de commande.

3.1.3. le contrôleur s'engage à donner des instructions au sous-traitant concernant strictement le traitement des catégories de données à caractère personnel suivantes :

  • Nom, titre, fonction et coordonnées telles que, mais sans s'y limiter, l'adresse de l'entreprise, l'adresse électronique et le numéro de téléphone ;
  • Données de facturation et de paiement ;
  • Informations contractuelles, telles que, mais sans s'y limiter, la relation contractuelle, les commandes, la facturation, les paiements ;
  • Noms d'utilisateur, mots de passe et autres données de connexion ;
  • Données relatives aux informations financières de la personne concernée, telles que, mais sans s'y limiter, les dettes et le salaire ;

3.1.4 Si le responsable du traitement a l'intention d'utiliser la plate-forme fournie par le sous-traitant pour le traitement d'autres catégories de données à caractère personnel que celles énumérées ci-dessus, le responsable du traitement doit impérativement informer le sous-traitant de son intention et mentionner les catégories supplémentaires de données à caractère personnel dans la commande ou l'accord de service.

3.1.5 Le sous-traitant s'engage à ne pas traiter de données à caractère personnel en dehors de l'Espace économique européen ("EEE"). Par conséquent, les parties conviennent qu'aucune mesure particulière ne doit être définie pour le traitement des données à caractère personnel en dehors de l'EEE.

3.1.6. il incombe au responsable du traitement de s'assurer de l'existence de la base juridique nécessaire au traitement des données à caractère personnel, y compris toute catégorie spéciale éventuelle de données à caractère personnel.

3.2 Durée 

L'accord sur le traitement des données s'applique à compter de la date de début de l'accord et expire lorsque l'accord prend fin et que le sous-traitant a cessé de traiter les données à caractère personnel pour le compte du contrôleur. 

Article 4. Obligations du sous-traitant

4.1 Instruction du client 

4.1.1 Le sous-traitant ne peut traiter les données à caractère personnel que dans le cadre de l'accord, conformément aux instructions du responsable du traitement, sauf si le droit européen ou national auquel le sous-traitant est soumis l'y oblige. Le sous-traitant informe le responsable du traitement de cette exigence légale avant le traitement, à moins que cette loi n'interdise une telle information. Le sous-traitant ne traite pas les données à caractère personnel à ses propres fins ou aux fins de tiers (sauf si certaines données à caractère personnel sont également traitées par Optimy en tant que responsable du traitement dans le cadre de l'exécution de l'accord, comme cela est explicitement mentionné dans l'accord). En particulier, le droit de donner des instructions comprend l'utilisation des données personnelles, les mesures de protection des données et l'élimination des supports de données. 

4.1.2 Le sous-traitant informe immédiatement le contrôleur s'il estime que les instructions du contrôleur sont contraires au GDPR ou à d'autres lois applicables en matière de protection des données. Le sous-traitant peut cesser de donner suite aux instructions jusqu'à ce que le responsable du traitement les confirme ou les modifie. 

4.1.3 Les personnes autorisées à donner des instructions au nom et pour le compte du contrôleur, ci-après dénommées "point de contact du contrôleur", sont explicitement spécifiées dans le formulaire de commande signé entre les parties.

Le contrôleur confirme les instructions verbales par écrit ou par courrier électronique, sous forme de texte.

La personne qui, au sein du sous-traitant, est autorisée à réceptionner les instructions est mentionnée dans le formulaire de commande signé à l'adresse Optimy.

4.2 Dispositions générales sur le traitement des données 

4.2.1 Le sous-traitant s'engage à tenir un registre des activités de traitement conformément à l'article 30 (2) du GDPR et permet au contrôleur de consulter les parties du registre relatives aux processus du contrôleur à la demande de ce dernier. Le sous-traitant garantit que le personnel impliqué dans le traitement des données personnelles du contrôleur et les autres personnes travaillant pour le sous-traitant n'ont pas le droit de traiter les données personnelles, sauf en cas d'instructions. 

4.2.2 Le sous-traitant garantit en outre que les personnes autorisées à traiter les données à caractère personnel ont été tenues de respecter les obligations de confidentialité et de non-divulgation, ou sont soumises à des obligations légales de confidentialité adéquates. Les exigences de confidentialité continuent de s'appliquer au sous-traitant après la résiliation de l'accord et après que les autres personnes autorisées à traiter les données à caractère personnel ont cessé leurs activités ou après le départ des employés du sous-traitant.

4.3. mesures techniques et organisationnelles de protection 

4.3.1 Le sous-traitant s'assure que des mesures techniques, organisationnelles, administratives et physiques appropriées, telles que décrites dans les mesures techniques et organisationnelles, ont été prises pour le traitement et que le traitement est effectué d'une manière conforme aux lois applicables en matière de protection des données, en défendant les droits des personnes concernées. Le sous-traitant doit le démontrer de manière appropriée. 

4.3.2 Le sous-traitant met en œuvre les mesures de sécurité techniques, organisationnelles, contractuelles ou autres appropriées pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes, ainsi que les moyens de rétablir la disponibilité des données et l'accès à celles-ci en temps utile en cas d'incident physique ou technique. 

4.3.3 Le responsable du traitement a connaissance de ces mesures techniques et organisationnelles et il lui incombe de veiller à ce qu'elles offrent à tout moment un niveau de protection adéquat contre les risques liés aux données à traiter. 

4.3.4 Le responsable du traitement accepte que les mesures décrites dans les mesures techniques et organisationnelles de l'accord sont suffisantes, compte tenu des types de données à caractère personnel, des catégories de personnes concernées et du type d'opérations de traitement effectuées sous sa responsabilité.

4.4 Violations de données à caractère personnel 

4.4.1 Le sous-traitant veille, au moyen de mesures techniques et organisationnelles appropriées, à ce que les violations de données à caractère personnel survenant dans ses locaux ou dans ceux de ses sous-traitants puissent être détectées et notifiées au responsable du traitement dans les meilleurs délais. 

4.4.2 En consultation avec le contrôleur, le sous-traitant met en œuvre des mesures appropriées pour protéger les données et des mesures provisoires pour atténuer les conséquences négatives potentielles pour les personnes concernées. Le sous-traitant aide en outre le contrôleur à s'acquitter de ses obligations de notification à l'autorité de contrôle compétente et de communication de la violation de données à caractère personnel aux personnes concernées, en fournissant au contrôleur toutes les informations nécessaires à cet égard.

4.5 Obligations de coopération 

4.5.1 Le sous-traitant coopère pour aider le responsable du traitement à répondre aux demandes des personnes concernées qui exercent leurs droits conformément au chapitre III du GDPR. Dans le cas improbable où une personne concernée contacte le sous-traitant pour exercer ses droits en vertu du GDPR, le sous-traitant transmet cette demande des personnes concernées au responsable du traitement dans les plus brefs délais. Les notifications seront envoyées au point de contact du responsable du traitement.

4.5.2 Si le contrôleur fait l'objet d'un audit par l'autorité de contrôle, d'une procédure réglementaire ou pénale, d'une action en responsabilité de la part d'une personne concernée ou d'un tiers ou de toute autre action relative au traitement par le sous-traitant, le sous-traitant assiste le contrôleur dans une mesure raisonnable et en contrepartie des frais convenus par les parties. 

4.6 Obligations de notification 

Dans la mesure où la loi le permet, le sous-traitant informe immédiatement le contrôleur de tout audit ou mesure mené par l'autorité de contrôle qui concerne l'accord ou le présent accord sur le traitement des données, si l'autorité de contrôle l'autorise à le faire. Les notifications doivent être envoyées en anglais. Cette disposition s'applique également si une autorité compétente enquête sur le sous-traitant dans le cadre d'une procédure administrative ou pénale concernant le traitement de données à caractère personnel. Dans la mesure où la loi le permet, le sous-traitant se coordonne au préalable avec le contrôleur pour toute interaction directe avec ces autorités.

4.7. Suppression et restitution des données et des supports de données 

4.7.1 Le sous-traitant corrige, supprime ou restreint l'accès aux données personnelles selon les instructions du contrôleur, à condition que ces instructions soient documentées et relèvent du champ d'application de l'instruction. Si la suppression des données personnelles ou la restriction du traitement des données conformément aux exigences en matière de protection des données n'est pas possible, le sous-traitant procède à la destruction des supports de données et autres matériels conformément aux lois sur la protection des données, sur ordre spécifique du responsable du traitement, ou renvoie les supports de données au responsable du traitement. Les parties peuvent convenir de dispositions relatives à l'indemnisation pour l'exécution de cette tâche. 

4.7.2. à la fin de la prestation des services impliquant le traitement, le sous-traitant cesse le traitement des données à caractère personnel, efface les données à caractère personnel en sa possession et renvoie ou détruit les supports matériels contenant les données à caractère personnel. 

4.7.3 Une exception est faite pour les copies, telles que les copies de sauvegarde, nécessaires pour assurer la protection des intérêts des parties ou de leur position juridique ou pour assurer le respect des obligations légales de conservation en vertu du droit applicable pendant et après la durée de l'accord. 

4.7.4 Pour des raisons de sécurité, les données à caractère personnel sont conservées dans une copie de sauvegarde pendant une période maximale de 1 (un) an après l'effacement des données. Dans ce cas, le sous-traitant garantit qu'il gardera les données personnelles confidentielles et qu'il s'abstiendra de tout traitement actif.

4.7.5 Un certificat de suppression peut être présenté sur demande. 

Article 5. Obligations du responsable du traitement

5.1 Le contrôleur informe pleinement et sans délai le sous-traitant dès qu'il a connaissance d'une erreur ou d'une irrégularité relevant des lois applicables en matière de protection des données dans le cadre de l'exécution de l'accord. 

5.2 Le contrôleur notifie au sous-traitant les questions de protection des données liées au présent accord. 

Article 6. Droits d'audit du contrôleur

6.1 Le contrôleur a le droit de faire réaliser un audit au maximum une fois par an. Le responsable du traitement peut exceptionnellement effectuer des audits supplémentaires s'il démontre qu'il dispose d'indications objectives et sérieuses lui permettant de soupçonner que le sous-traitant traite les données à caractère personnel d'une manière illégale ou en violation des dispositions du présent accord sur le traitement des données. 

6.2 La langue de la procédure d'audit doit être l'anglais.

6.3 L'audit peut être mené par le contrôleur lui-même ou par un auditeur tiers indépendant qu'il désigne. L'auditeur tiers indépendant ne doit pas être un concurrent direct ou indirect du sous-traitant et doit être lié par un accord de confidentialité.

6.4 La mission de l'auditeur est limitée à l'évaluation de la conformité des opérations du transformateur avec :

(i) les lois sur la protection des données applicables au sous-traitant, et

(ii) le présent Accord sur le traitement des données.

6.5 L'auditeur n'est pas habilité à évaluer le respect par le sous-traitant d'autres éléments de l'accord, à moins que les parties ne conviennent d'étendre le champ d'application de la mission de l'auditeur. 

6.6 Le contrôleur notifie l'audit au moins 30 (trente) jours civils à l'avance. En cas d'urgence, le responsable du traitement peut raccourcir le délai de préavis à 7 (sept) jours civils. Les événements dans lesquels des enquêtes ou des inspections sont menées par les autorités de contrôle de la protection des données, d'autres autorités publiques et des tribunaux, et les cas d'incidents à signaler sont les seuls événements considérés comme urgents. 

6.7 L'audit ne peut être réalisé que pendant les heures de bureau. Le responsable du traitement et l'auditeur s'efforcent de limiter l'impact sur les activités commerciales du sous-traitant. 

6.8 Dans la mesure nécessaire pour évaluer le respect des obligations du sous-traitant en matière de protection des données, le sous-traitant s'engage à fournir au contrôleur toutes les informations nécessaires, y compris l'accès physique aux documents suivants en anglais :

(i) les documents commerciaux, 

(ii) les données stockées, 

(iii) les programmes de traitement des données, 

(iv) la documentation sur les processus opérationnels, et 

(v) autres documents

6.9 La preuve de l'existence de mesures adéquates, ne concernant pas uniquement l'accord, peut être vérifiée par l'intermédiaire de : 

(i) l'auto-audit ; 

(ii) un code de conduite interne à l'entreprise exigeant une documentation externe de conformité ;

(iii) un certificat de protection des données ou de sécurité de l'information (par exemple ISO 27001) ; 

(iv) un code de conduite approuvé conformément à l'article 40 du GDPR ; 

(v) les certificats conformément à l'article 42 du GDPR ; 

(vi) tout autre moyen déterminé conjointement par les parties. 

6.10. Le contrôleur prend en charge les coûts de l'audit. 

6.11. Les parties discutent des résultats de l'audit et, si une défaillance est constatée et acceptée par le sous-traitant, des mesures à prendre pour remédier aux problèmes de protection et de sécurité des données. 

Article 7. Sous-traitants

7.1 Le responsable du traitement reconnaît et confirme que le sous-traitant peut travailler avec des sous-traitants secondaires pour le traitement des données dans le cadre de l'exécution de l'accord. Le sous-traitant met en œuvre les dispositions nécessaires avec ces sous-traitants secondaires pour garantir la mise en place de mesures adéquates de protection des données et de sécurité de l'information. 

7.2 Les sous-traitants secondaires au sens de la présente disposition sont ceux qui fournissent des services directement liés à la prestation des services en vertu de l'accord ; cela n'inclut pas les services auxiliaires utilisés par le sous-traitant, par exemple sous la forme de services de télécommunications, de systèmes d'exploitation d'ordinateurs portables, de services postaux et de transport ou de mise à disposition de supports de données. Toutefois, le sous-traitant doit conclure des accords contractuels adéquats et légaux et entreprendre des activités de contrôle pour garantir la protection et la sécurité des données du contrôleur, même lorsque des services auxiliaires sont externalisés.

7.3 Les services et éléments de services convenus contractuellement et devant être exécutés avec la participation de sous-traitants sont décrits en ligne à l'aide du lien URL suivant, dans la section relative aux services standard Optimy : https://www.optimy.com/legal/list-of-subprocessors.

7.4 Pour référence future, le sous-traitant informe par écrit le point de contact du contrôleur de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants secondaires. Le Responsable du traitement dispose alors d'un délai de 5 (cinq) jours ouvrables pour s'y opposer en invoquant des raisons sérieuses et impartiales, en prouvant les inconvénients en ce qui concerne la protection des données personnelles et le respect des lois applicables en matière de protection des données personnelles. Si le responsable du traitement ne répond pas dans ce délai, le responsable du traitement a accepté la nouvelle relation commerciale.

7.5 Le sous-traitant lie tout soustraitant aux mêmes obligations en matière de protection des données que celles énoncées dans le présent accord sur le traitement des données par le biais d'un accord. 

Article 8. Divers 

8.1 Les modifications et les compléments apportés au présent accord sur le traitement des données et à tout élément de celui-ci doivent faire l'objet d'un accord écrit signé par les parties. 

8.2 Si l'une des dispositions du présent Accord sur le traitement des données est ou devient invalide, la validité du présent Accord sur le traitement des données et la validité de l'Accord dans son ensemble n'en sont pas affectées. Dans ce cas, les parties contractantes remplacent la disposition invalide par une disposition conforme au droit légal.