ACCORD SUR LE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Cet Accord de Traitement des Données à caractère personnel (“Accord de Traitement des Données” ou “DPA”) encadre la collaboration entre Optimy et toute organisation avec laquelle un Formulaire de commande est signé, dans lequel référence sera faite à la présente page web, pour ce qui concerne le traitement des Données personnelles, conformément à l'article 28 du RGPD (Règlement Général sur la Protection des Données de la Commission Européenne).
Article 1. Définitions
Aux fins du présent DPA, il est entendu conformément au RGPD :
- Destinataire : une personne physique ou morale, une autorité publique, une agence ou un autre organisme, à qui les données à caractère personnel sont communiquées, qu'il s'agisse ou non d'un Tiers. Toutefois, les autorités publiques qui peuvent recevoir des données à caractère personnel dans le cadre d'une enquête particulière conformément au droit de l'Union ou des États membres ne sont pas considérées comme des destinataires ; le traitement de ces données par ces autorités publiques doit être conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.
- Données à caractère personnel ou Données personnelles : toute information concernant une personne physique identifiée ou identifiable ("Personne concernée") ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
- Données biométriques : Données à caractère personnel résultant d'un traitement technique spécifique relatif aux caractéristiques physiques, psychologiques ou comportementales d'une personne physique, qui permettent ou confirment l'identification unique de cette personne physique, telles que les images faciales ou les données dactyloscopiques.
- Données génétiques : Données à caractère personnel relatives aux caractéristiques génétiques héritées ou acquises d'une personne physique qui fournissent des informations uniques sur la physiologie ou la santé de cette personne physique et qui résultent, en particulier, de l'analyse d'un échantillon biologique de la personne physique en question.
- Données relatives à la santé : Données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la fourniture de services de soins de santé, qui révèlent des informations sur son état de santé.
- Mesures techniques et organisationnelles : consultables au lien suivant, https://www.optimy.com/legal/technical-and-organisational-measures-fr, l’ensemble des règles, lignes directrices et contrôles mis en œuvre par Optimy afin de maintenir la conformité avec les lois applicables en matière de protection des données et leurs exigences.
- Personne concernée : une personne physique identifiée ou identifiable ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
- Responsable de traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou des États membres, le responsable du traitement ou les critères spécifiques de sa désignation peuvent être prévus par le droit de l'Union ou des États membres. Dans le présent Accord sur le Traitement des Données, le Client agit en tant que Responsable du traitement et les références au "Responsable du traitement" sont des références au Client.
- Sous-traitant : une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données personnelles pour le compte du Responsable de traitement. Dans le présent DPA, Optimy agit en tant que Sous-traitant et les références au "Sous-traitant " sont des références à Optimy.
- Sous-traitant secondaire : Un Sous-traitant secondaire est un Sous-traitant tiers engagé par un Sous-traitant, qui lui-même a ou aura accès à des données à caractère personnel ou les traitera pour le compte et selon les instructions ou la supervision d'un Responsable du traitement des données. Le Sous-traitant et le Sous-traitant secondaire ont les mêmes obligations en ce qui concerne le GDPR.
- Tiers : une personne physique ou morale, une autorité publique, une agence ou un organisme autre que la Personne concernée, le Responsable du traitement, le Sous-traitant et les personnes qui, sous l'autorité directe du Responsable du traitement ou du Sous-traitant, sont autorisées à traiter les données à caractère personnel.
- Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
- Violation de données à caractère personnel : violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
Article 2. Champ d'application
2.1. Le présent DPA précise les obligations des Parties contractantes en matière de protection des données dans le cadre du Contrat qu'elles ont signé.
2.2. Le DPA s'applique à toutes les activités liées au Contrat qui impliquent le Traitement des Données à caractère personnel du Responsable de traitement par le personnel du Sous-traitant ou par une personne mandatée par le Sous-traitant.
2.3. Les employés, consultants, stagiaires, sous-traitants et entités affiliées d'Optimy, ainsi que les Sous-Traitants secondaires mentionnés à l'article 7 du présent DPA peuvent être impliqués dans le traitement des données à caractère personnel pour le compte du Responsable de traitement.
Article 3. Objet et durée du traitement des données
3.1. Objet
3.1.1. Le Responsable de traitement s'engage à donner des instructions au Sous-traitant concernant le traitement des Données à caractère personnel pour les catégories suivantes de Personnes concernées :
- Organisations candidates aux projets du Responsable du traitement (tels que, mais sans s'y limiter, les subventions ou les parrainages) ou leurs personnes de contact ;
- Candidature individuelle aux projets du Responsable du traitement;
- Fournisseur du Responsable du traitement, y compris les anciens fournisseurs et les fournisseurs potentiels, ou leurs personnes de contact ;
- Partenaires du Responsable du traitement ou leurs personnes de contact ;
3.1.2. Si le Responsable de traitement a l'intention d'utiliser la Plateforme fournie par le Sous-traitant pour le traitement de Données personnelles relatives à d'autres catégories de Personnes concernées que celles énumérées ci-dessus, le Responsable de traitement doit impérativement informer le Sous-traitant de son intention et mentionner les catégories supplémentaires de Personnes concernées dans la Commande.
3.1.3. Le Responsable de traitement s'engage à donner des instructions au Sous-traitant concernant le traitement des catégories de Données à caractère personnel suivantes :
- Nom, titre, fonction et coordonnées telles que, mais sans s'y limiter, l'adresse de l'entreprise, l'adresse électronique et le numéro de téléphone ;
- Données de facturation et de paiement ;
- Informations contractuelles, telles que, mais sans s'y limiter, la relation contractuelle, les commandes, la facturation, les paiements ;
- Noms d'utilisateur, mots de passe et autres données de connexion ;
- Données relatives aux informations financières de la Personne concernée, telles que, mais sans s'y limiter, les dettes et le salaire ;
3.1.4. Si le Responsable de traitement a l'intention d'utiliser la Plateforme fournie par le Sous-traitant pour le traitement d'autres catégories de Données personnelles que celles énumérées ci-dessus, le Responsable du traitement doit impérativement informer le Sous-processeur de son intention et mentionner les catégories supplémentaires de Données personnelles dans la Commande.
3.1.5. Le Sous-traitant s'engage à ne pas traiter de Données à caractère personnel en dehors de l'Espace Economique Européen ("EEE"). Par conséquent, les Parties conviennent qu'aucune mesure particulière ne doit être définie pour le traitement des Données à caractère personnel en dehors de l'EEE.
3.1.6. Il incombe au Responsable du traitement de s'assurer de l'existence de la base juridique nécessaire au traitement des Données à caractère personnel, y compris toute catégorie de Données sensibles.
3.2 Durée
L'Accord sur le Traitement des Données s'applique à compter de la date de début du Contrat et expire lorsque le Contrat prend fin et que le Sous-traitant a cessé de traiter les Données à caractère personnel pour le compte du Responsable de traitement.
Article 4. Obligations du Sous-traitant
4.1. Instruction du Client
4.1.1. Le Sous-traitant ne peut traiter les Données à caractère personnel dans le cadre du Contrat que selon les instructions du Responsable de traitement, sauf si le droit européen ou national auquel le Sous-traitant est soumis l'y oblige. Le Sous-traitant informe le Responsable de traitement de cette exigence légale avant le traitement, à moins que cette loi n'interdise une telle information. Le Sous-traitant ne traite pas les Données personnelles à ses propres fins ou aux fins de Tiers (sauf si certaines Données personnelles sont également traitées par Optimy en tant que Responsable du traitement dans le cadre de l'exécution du Contrat, comme cela est explicitement mentionné dans le Contrat). En particulier, le droit de donner des instructions comprend l'utilisation des Données personnelles, les mesures de protection des données et l'élimination des supports de données.
4.1.2. Le Sous-traitant informe immédiatement le Responsable de traitement s'il estime que les instructions du Responsable de traitement sont contraires au RGPD ou à d'autres Lois applicables en matière de protection des données. Le Sous-traitant peut cesser de donner suite aux instructions jusqu'à ce que le Responsable de traitement les confirme ou les modifie.
4.1.3. Les personnes autorisées à donner des instructions au nom et pour le compte du Responsable de traitement, ci-après dénommées "Data Protection Officer", sont explicitement spécifiées dans le Formulaire de commande signé entre les Parties.
Le Responsable de traitement confirme les instructions verbales par écrit ou par courrier électronique, sous forme de texte.
La personne qui est habilitée à réceptionner les instructions chez le Sous-traitant est mentionnée dans le Formulaire de commande signé avec Optimy.
4.2. Dispositions générales sur le traitement des données
4.2.1. Le Sous-traitant s'engage à tenir un registre des activités de traitement conformément à l'article 30, paragraphe 2, du RGPD et autorise le Responsable de traitement à consulter les parties du registre relatives aux processus du Responsable de traitement à la demande de ce dernier. Le Sous-traitant garantit que le personnel impliqué dans le traitement des Données personnelles du Responsable du traitement et que les autres personnes travaillant pour le Sous-traitant n'ont pas le droit de traiter les Données personnelles, sauf en cas d'instructions.
4.2.2. Le Sous-traitant garantit en outre que les personnes autorisées à traiter les Données à caractère personnel ont été tenues de respecter les obligations de confidentialité et de non-divulgation, ou sont soumises à des obligations légales de confidentialité adéquates. Les exigences de confidentialité continuent de s'appliquer au Sous-traitant après la résiliation du Contrat et après que les autres personnes autorisées à traiter les Données à caractère personnel ont cessé leurs activités ou après le départ des employés du Sous-traitant.
4.3. Mesures de protection techniques et organisationnelles
4.3.1. Le Sous-traitant veille à ce que des Mesures techniques, organisationnelles, administratives et physiques appropriées, telles que décrites dans les Mesures techniques et organisationnelles, aient été prises pour le traitement et à ce que le traitement soit effectué d'une manière conforme aux Lois applicables en matière de protection des données, en défendant les droits des Personnes concernées. Le Sous-traitant doit le démontrer de manière appropriée.
4.3.2. Le Sous-traitant met en œuvre les Mesures de sécurité techniques, organisationnelles, contractuelles ou autres appropriées pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes, ainsi que les moyens de rétablir la disponibilité des données et l'accès à celles-ci en temps utile en cas d'incident physique ou technique.
4.3.3. Le Responsable de traitement a connaissance de ces Mesures techniques et organisationnelles et il lui incombe de veiller à ce qu'elles offrent à tout moment un niveau de protection adéquat contre les risques liés aux données à traiter.
4.3.4. Le Responsable de traitement accepte que les mesures décrites dans les Mesures techniques et organisationnelles du Contrat soient appropriées, compte tenu des types de Données à caractère personnel, des catégories de Personnes concernées et du type d'opérations de traitement effectuées sous sa responsabilité.
4.4. Violations de Données à caractère personnel
4.4.1. Le Sous-traitant veille, au moyen de Mesures techniques et organisationnelles appropriées, à ce que les Violations de Données à caractère personnel survenant dans ses locaux ou dans ceux de ses Sous-traitants puissent être détectées et notifiées au Responsable de traitement dans les meilleurs délais.
4.4.2. En consultation avec le Responsable de traitement, le Sous-traitant met en œuvre des mesures appropriées pour protéger les données et des mesures provisoires pour atténuer les conséquences négatives potentielles pour les Personnes concernées. Le Sous-traitant aide en outre le Responsable de traitement à s'acquitter de ses obligations de notification à l'Autorité de contrôle compétente et de communication de la Violation de Données à caractère personnel aux Personnes concernées, en fournissant au Responsable de traitement toutes les informations nécessaires à cet égard.
4.5. Obligations de coopération
4.5.1. Le Sous-traitant coopère pour aider le Responsable de traitement à répondre aux demandes des Personnes concernées qui exercent leurs droits conformément au chapitre III du RGPD. Dans le cas où une Personne concernée contacte le Sous-traitant pour exercer ses droits en vertu du RGPD, le Sous-traitant transmet cette demande des Personnes concernées au Responsable de traitement dans les plus brefs délais. Les notifications seront envoyées au point de contact du Responsable de traitement.
4.5.2. Si le Responsable de traitement fait l'objet d'un audit par l'Autorité de contrôle, d'une procédure réglementaire ou pénale, d'une action en responsabilité de la part d'une Personne concernée ou d'un Tiers ou de toute autre action relative au traitement effectué par le Sous-traitant, le Sous-traitant assiste le Responsable de traitement dans une mesure raisonnable et en contrepartie des honoraires convenus par les Parties.
4.6. Obligations de notification
Dans la mesure où la loi le permet, le Sous-traitant informe immédiatement le Responsable de traitement de tout audit ou mesure mené par l'Autorité de contrôle qui concerne le Contrat ou le présent Accord sur le traitement des données, si l'Autorité de contrôle l'autorise à le faire. Les notifications sont en anglais. Cette disposition s'applique également si une autorité compétente enquête sur le Sous-traitant dans le cadre d'une procédure administrative ou pénale concernant le traitement de Données à caractère personnel. Dans la mesure où la loi le permet, le Sous-traitant se coordonne au préalable avec le Responsable de traitement pour toute interaction directe avec ces autorités.
4.7. Effacement et restitution des données et des supports de données
4.7.1. Le Sous-traitant corrige, supprime ou restreint l'accès aux Données à caractère personnel selon les instructions du Responsable du traitement, pour autant que ces instructions soient documentées et relèvent du champ d'application de l'instruction. Si la suppression des Données personnelles ou la restriction du traitement des données conformément aux exigences en matière de protection des données n'est pas possible, le Sous-traitant procède à la destruction des supports de données et autres matériels conformément aux lois sur la protection des données, sur ordre spécifique du Responsable du traitement, ou renvoie les supports de données au Responsable du traitement. Les Parties peuvent convenir de dispositions relatives à l'indemnisation pour l'exécution de cette tâche.
4.7.2. A la fin de la fourniture des services incluant le traitement des Données à caractère personnel, le Sous-traitant cesse le traitement des Données à caractère personnel en sa possession et renvoie ou détruit les supports matériels contenant les Données à caractère personnel.
4.7.3. Une exception est faite pour les copies, telles que les copies de sauvegarde, nécessaires pour assurer la protection des intérêts des Parties ou de leur position juridique ou pour assurer le respect des obligations légales de conservation en vertu du droit applicable pendant et après la durée du Contrat.
4.7.4. Pour des raisons de sécurité, les Données à caractère personnel sont conservées dans une copie de sauvegarde pendant une période maximale de 1 (un) an après l'effacement des données. Dans ce cas, le Sous-traitant garantit qu'il gardera les Données personnelles confidentielles et qu'il s'abstiendra de tout traitement actif.
4.7.5. Un certificat de suppression peut être présenté sur demande.
Article 5. Obligations du Responsable de traitement
5.1. Le Responsable du traitement informe pleinement et sans délai le Sous-traitant dès qu'il a connaissance d'une erreur ou d'une irrégularité relevant des lois applicables en matière de protection des données dans le cadre de l'exécution du Contrat.
5.2. Le Responsable de traitement notifie au Sous-traitant tout problème de protection des données liés au présent DPA.
Article 6. Droits d'audit du Responsable de traitement
6.1. Le Responsable de traitement a le droit de faire réaliser un audit au maximum une fois par an. Le Responsable du traitement peut exceptionnellement effectuer des audits supplémentaires s'il démontre qu'il dispose d'indications objectives et sérieuses lui permettant de soupçonner que le Sous-traitant traite les Données à caractère personnel de manière illégale ou en violation des dispositions du présent Accord sur le traitement des données.
6.2. La langue de la procédure d'audit doit être l'anglais.
6.3. L'audit peut être mené par le Responsable du traitement lui-même ou par un auditeur tiers indépendant qu'il désigne. L'auditeur tiers indépendant ne doit pas être un concurrent direct ou indirect du Sous-traitant et doit être lié par un accord de confidentialité.
6.4. La mission de l'auditeur est limitée à l'évaluation de la conformité des opérations du Sous-traitant avec :
(i) les lois sur la protection des données applicables au Sous-traitant, et
(ii) le présent Accord sur le traitement des données.
6.5. L'auditeur n'est pas habilité à évaluer le respect par le Sous-traitant d'autres éléments du Contrat, à moins que les Parties ne conviennent d'étendre le champ d'application de la mission de l'auditeur.
6.6. Le Responsable du traitement notifie l'audit au moins 30 (trente) jours civils à l'avance. En cas d'urgence, le Responsable du traitement peut raccourcir le délai de préavis à 7 (sept) jours civils. Seules les situations dans lesquelles des enquêtes ou des inspections sont menées par les Autorités de contrôle de la protection des données, d'autres autorités publiques et des tribunaux, et les cas d'incidents à signaler peuvent constituer des événements considérés comme urgents au sens de la présente clause.
6.7. L'audit ne peut être réalisé que pendant les heures de bureau. Le Responsable du traitement et l'auditeur s'efforcent de limiter l'impact sur les activités commerciales du Sous-traitant.
6.8. Dans la mesure nécessaire pour évaluer le respect des obligations du Sous-traitant en matière de protection des données, le Sous-traitant s'engage à fournir au Responsable du traitement toutes les informations nécessaires, y compris l'accès physique aux documents suivants en anglais :
(i) les documents commerciaux,
(ii) les données stockées,
(iii) les programmes de traitement des données,
(iv) la documentation sur les processus opérationnels, et
(v) autres documents
6.9. La preuve de l'existence de mesures adéquates, ne relevant pas uniquement du Contrat, peut être vérifiée par le biais de :
(i) l'auto-audit ;
(ii) un code de conduite interne à l'entreprise exigeant une documentation externe de conformité ;
(iii) un certificat de protection des données ou de sécurité de l'information (par exemple ISO 27001) ;
(iv) un code de conduite approuvé conformément à l'article 40 du GDPR ;
(v) les certificats conformément à l'article 42 du GDPR ;
(vi) tout autre moyen déterminé conjointement par les parties.
6.10. Le Responsable du traitement prend en charge les coûts de l'audit.
6.11. Les Parties discutent des résultats de l'audit et, si un manquement est constaté et accepté comme tel par le Sous-traitant, des mesures sont prises pour remédier aux problèmes de protection des données et de sécurité.
Article 7. Sous-traitants
7.1. Le Responsable du traitement reconnaît et accepte que le Sous-traitant peut travailler avec des Sous-traitants secondaires pour le traitement des données dans le cadre de l'exécution du Contrat. Le Sous-traitant met en œuvre les dispositions nécessaires avec ses Sous-traitants secondaires pour garantir la mise en place de mesures adéquates de protection des données et de sécurité de l'information.
7.2. Les Sous-traitants secondaires au sens de la présente disposition sont ceux qui fournissent des services directement liés à la prestation des Services en vertu du Contrat; cela n'inclut pas les services auxiliaires utilisés par le Sous-traitant, par exemple sous la forme de services de télécommunications, de systèmes d'exploitation d'ordinateurs portables, de services postaux et de transport ou de mise à disposition de supports de données. Toutefois, le Sous-traitant doit conclure des accords contractuels adéquats et légaux et entreprendre des activités de contrôle pour garantir la protection et la sécurité des données du Responsable du traitement, même lorsque des services auxiliaires sont externalisés.
7.3. Les services et éléments de services convenus contractuellement et devant être exécutés avec la participation de Sous-traitants secondaires sont décrits en ligne à l'aide du lien URL suivant, dans la section relative aux services standard d'Optimy: https://www.optimy.com/legal/list-of-subprocessors.
7.4. Le Sous-traitant informe par écrit le point de contact du Responsable du traitement de tout changement prévu concernant l'ajout, le retrait ou le remplacement de Sous-traitants secondaires. Le Responsable du traitement dispose alors d'un délai de 5 (cinq) jours ouvrables pour s'y opposer en invoquant des raisons sérieuses et impartiales, en prouvant les inconvénients en ce qui concerne la protection des Données personnelles et le respect des lois applicables en matière de protection des Données personnelles. Si le Responsable du traitement ne répond pas dans ce délai, le Responsable du traitement est réputé comme ayant accepté les changements.
7.5. Le Sous-traitant lie tout Sous-traitant secondaire aux mêmes obligations en matière de protection des données que celles énoncées dans le présent Accord sur le traitement des données, par le biais d'un accord.
Article 8. Divers
8.1. Les modifications et compléments apportés au présent Accord sur le traitement des données et à tout élément de celui-ci doivent faire l'objet d'un accord écrit signé par les Parties.
8.2. Si l'une des dispositions du présent Accord sur le traitement des données est ou devient invalide, la validité du présent Accord sur le traitement des données et la validité du Contrat dans son ensemble n'en sont pas affectées. Dans ce cas, les Parties contractantes remplacent la disposition invalide par une disposition conforme au droit légal.