Convention relative au traitement des données à caractère personnel

Entre les soussignées

IDENOVIA 66 rue du marché gare 67200 Strasbourg
Téléphone : 0 805 69 66 63 Fax : 09 72 27 51 40 • E-mail : contact@idenovia.com
SARL au capital de 5 000€ RCS 500 309 125 de Strasbourg Siret : 530 399 58300 018 Code activité : 6201Z N° de TVA Intra-communautaire : FR21500309125
Directeur : Stanislas BAUMBERGER

Ci-après le « Sous-traitant »
D’une part,

ET

La société . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ayant son siège social. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Immatriculée au. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Représentée par . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Ci-après le « Responsable du traitement »
D’autre part.

PREAMBULE

Le Sous-traitant et le Responsable du traitement sont désignés ci-après chacun individuellement la « Partie » et conjointement les « Parties ».
Les Parties ont conclu un Contrat ayant pour objet la mise à disposition de logiciels, de services informatiques, de services applicatifs en ligne et de télécom (désigné « le Contrat ») et souhaitent satisfaire, par le biais de la présente Convention, à leurs obligations aux termes du Règlement général sur la protection des données 2016/679 du 27 avril 2016, applicable depuis le 25 mai 2018.

Il a été convenu et arrêté ce qui suit :

1. Définitions

Dans le cadre de la présente Convention, on entend par :

Autorité de Contrôle : Une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51 RGPD : en France il s’agit de la CNIL.

Catégories particulières de Données : Données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique et les mesures de sûreté y afférentes.

Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable (l’Intéressé).

État membre : Un pays faisant partie de l’Union Européenne.

Intéressé : Une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Le Responsable du traitement : La partie contractuelle visée au point B qui, en tant que personne physique ou morale, seule ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement de Données à caractère personnel.

Loi sur la protection des données applicable : La législation qui offre une protection des droits et libertés fondamentaux des personnes et plus particulièrement de leur droit au respect de leur vie privée concernant le Traitement de Données à caractère personnel, notamment la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, laquelle législation est applicable au Responsable du traitement et au Sous-traitant ; le terme Loi sur la protection des données applicable comprendra également le RGPD depuis son application le 25 mai 2018.

Mesures techniques et organisationnelles de sécurité : Les mesures destinées à protéger les Données à caractère personnel contre toute destruction accidentelle ou perte ou altération accidentelle, publication ou accès illégal, et ce, plus particulièrement, lorsque le Traitement implique l’envoi de données par l’intermédiaire d’un réseau, et contre toutes les autres formes illégales de Traitement.

Organisation internationale : Une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d’un tel accord.

Pays Tiers : Un pays concernant lequel la Commission européenne n’a pas décidé que ce pays ou un territoire ou un ou plusieurs secteurs spécifiques de ce pays, garantissent un niveau de sécurité adéquat.

Règlement général sur la protection des données ou RGPD : Le Règlement (CE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des

Services : Les services fournis par le Sous-traitant au Responsable du traitement et décrits dans l’article 3.1 de la présente Convention.

Sous-sous-traitant : Personne chargée de traiter des Données à caractère personnel par le Sous-traitant et qui accepte de recevoir du Sous-traitant des Données à caractère personnel qui sont exclusivement destinées à des activités de Traitement à effectuer pour le compte du Responsable du traitement conformément aux instructions de ce dernier, aux conditions de la présente Convention et aux conditions d’un Contrat écrit de sous-sous-traitant.

Traiter / Traitement : Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Violation de Données à caractère personnel : Une violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

2. Détails du traitement

2.1 Les détails des activités de traitement qui sont exercées par le Sous-traitant pour le compte du Responsable du traitement en tant qu’entreprise de traitement des données mandatée à cette fin (comme l’objet du Traitement, la nature et la finalité du Traitement, le type de Données à caractère personnel et les catégories d’Intéressés), sont exposés dans la fiche de produit, en Annexe III b de la présente Convention.

2.2 La fiche de produit, qui décrit de manière détaillée toutes les informations pertinentes concernant les Traitements de données à caractère personnel pour chaque Contrat avec le Responsable du traitement, peuvent uniquement être adaptées moyennant une notification écrite préalable au Responsable du traitement. Sans préjudice de l’article 5.2 de la présente Convention, les fiches de produit modifiées entreront en vigueur et seront considérées comme impératives entre les Parties si aucune réaction écrite et motivée y afférente de la part du Responsable du traitement n’est intervenue dans un délai de quatorze (14) jours calendaires suivant la réception de la notification.

2.3 La propriété des Données à caractère personnel ne sera jamais transférée au Sous-traitant, à moins qu’il s’agisse de ses propres Données à caractère personnel ou de celles de son personnel ou de ses préposés.

3. Droits et obligations du Reponsable de traitement

Le Responsable du traitement reste le cabinet en charge du traitement des données, responsable du Traitement de Données à caractère personnel conformément aux instructions données au Sous-traitant sur la base du Contrat et de la présente Convention. À ce titre, le Responsable du traitement doit fournir l’information aux Intéressés par les opérations de traitement au moment de la collecte des Données à caractère personnel.

Le Responsable du traitement a mandaté le Sous-traitant et continuera de mandater le Sous- traitant pendant la durée du traitement des données pour laquelle le mandat a été donné, afin de traiter les Données à caractère personnel exclusivement pour le compte du Responsable du traitement et conformément à la Loi sur la protection des données applicable. Le Responsable du traitement a le droit et est tenu de donner des instructions au Sous-traitant concernant le Traitement des Données à caractère personnel, tant sur un plan général que dans des cas individuels. Les instructions peuvent également porter sur l’amélioration, l’effacement, la portabilité et le blocage des Données à caractère personnel.

Les instructions seront généralement données par écrit, à moins qu’un cas d’urgence ou d’autres circonstances spécifiques requièrent une autre forme (par exemple verbale ou électronique) de communication. Les instructions non écrites devront être confirmées le plus rapidement possible par écrit par le Responsable du traitement. Si l’exécution d’une instruction engendre des frais pour le Sous-traitant, le Sous-traitant informera au préalable le Responsable du traitement desdits frais. Ce n’est qu’après avoir reçu de la part du Responsable du traitement la confirmation qu’il prend en charge les frais d’exécution de l’instruction en question, que le Sous-traitant exécutera ladite instruction.

4. Obligations du Sous-traitant

Le Sous-traitant :

4.1_ traitera exclusivement les Données à caractère personnel conformément aux instructions du Responsable du traitement et pour le compte du Responsable du traitement ; ces instructions sont énoncées dans le Contrat, la présente Convention et sous toute autre forme documentée comme indiqué à l’article 3 ci-dessus. Cette obligation de respecter les instructions du Responsable du traitement est également applicable pour la transmission de Données à caractère personnel à un Pays Tiers ou à une Organisation internationale ;

4.2_ informera immédiatement le Responsable du traitement si le Sous-traitant n’est pas, pour quelque raison que ce soit, en mesure de respecter une instruction du Responsable du traitement ;

4.3_ veillera à ce que les personnes qui sont mandatées par le Sous-traitant pour Traiter les Données à caractère personnel pour le compte du Responsable du traitement s’engagent à observer la confidentialité requise ou à ce que ces personnes soient soumises à un devoir de confidentialité adéquat et à ce que les personnes qui ont accès aux Données à caractère personnel Traitent uniquement ces Données à caractère personnel conformément aux instructions du Responsable du traitement ;

4.4_ respectera les Mesures techniques et organisationnelles de sécurité qui répondent aux exigences de la Loi sur la protection des données applicable telles que spécifiées de manière plus détaillée dans l’Annexe III b avant de débuter le Traitement des Données à caractère personnel, et veillera à offrir au Responsable du traitement suffisamment de garanties en ce qui concerne ces Mesures techniques et organisationnelles de sécurité ;

4.5_ assistera le Responsable du traitement en utilisant les Mesures techniques et organisationnelles adéquates, dans la mesure du possible, en vue du respect de l’obligation du Responsable du traitement d’accéder aux demandes d’exercice de leurs droits par les Intéressés en matière d’information, d’accès, de correction et d’effacement, de limitation du traitement, notification, portabilité de données, objection au marketing direct, profilage dans le cadre du marketing direct et décision fondée uniquement sur des traitements automatisés. Si ces Mesures Techniques et organisationnelles réalisables impliquent des changements ou adaptations des Mesures techniques et organisationnelles telles que spécifiées dans l’Annexe III b, le Sous-traitant informera le Responsable du traitement des frais engendrés par l’introduction desdites Mesures techniques et organisationnelles complémentaires ou modifiées, Dès que le Responsable du traitement aura confirmé qu’il prend ces frais à sa charge, le Sous-traitant pourra mettre lesdites Mesures techniques et organisationnelles complémentaires ou modifiées en oeuvre afin d’aider le Responsable du traitement à accéder aux demandes des Intéressés ;

4.6_ mettra à la disposition du Responsable du traitement toutes les informations qui sont nécessaires afin de démontrer le respect des obligations visées dans la présente Convention et à l’article 28 RGPD, et qui permettent ou contribuent aux contrôles, dont les inspections par le Responsable du traitement ou par un autre contrôleur mandaté à cette fin par le Responsable du traitement. Le Responsable du traitement ne pourra effectuer un contrôle en personne et sur place, à raison d’une fois par an, que si le Responsable du traitement dédommage le Sous-traitant des frais ou charges engendrés dans le chef du Sous-traitant par la perturbation de ses activités professionnelles, et si le moment et l’endroit du contrôle ont été déterminés préalablement en concertation entre les Parties ;

4.7_ tiendra par écrit un registre des catégories d’activités de traitement effectuées pour le compte du Responsable du traitement ;

4.8_ informera le Responsable du traitement sans aucun retard inutile :
4.8.1_ de toute demande juridiquement contraignante de communication de Données à caractère personnel émanant d’une autorité publique ou judiciaire, à moins qu’une telle notification soit interdite comme en cas d’interdiction pénale ayant pour but de préserver la confidentialité d’une procédure judiciaire ;
4.8.2_ des réclamations et demandes émanant directement d’Intéressés (par exemple les réclamations et demandes d’accès, correction et effacement, limitation de traitement, notification, portabilité de données, objection au marketing direct, profilage dans le cadre du marketing direct et décision fondée uniquement sur des traitements automatisés), sans accéder à ces demandes, à moins d’y être autorisé ou contraint de toute autre manière ;
4.8.3_ si le Sous-traitant se voit contraint, sur la base de la législation UE ou de la législation d’un État membre applicable au Sous-traitant, de traiter les Données à caractère personnel en dehors du cadre de la mission confiée par le Responsable du traitement, et ce, avant d’exécuter le traitement en question en dehors de ce cadre, à moins que la législation UE ou la législation de l’État membre en question interdise une telle information pour des motifs sérieux d’intérêt public ; cette notification doit faire état de l’exigence légale du chef de la législation UE ou de la législation de l’État membre en question ;
4.8.4_ si le Sous-traitant estime qu’une instruction du Responsable du traitement enfreint la Loi sur la protection des données applicable ou toute autre réglementation applicable au Sous-traitant ; en cas de communication d’une telle notification, le Sous-traitant ne sera pas tenu de suivre l’instruction en question, à moins et jusqu’à ce que le Responsable du traitement ait confirmé ou modifié ladite instruction par écrit ; et
4.8.5_ dès que le Sous-traitant a connaissance de l’existence d’une Violation de Données à caractère personnel chez le Sous-traitant, et ce, au plus tard dans un délai de vingt-quatre (24) heures. Dans le cas d’une telle Violation de Données à caractère personnel, le Sous-traitant assistera le Responsable du traitement, à sa demande écrite, en vertu de la Loi sur la protection des données applicable, afin d’informer les Intéressés ainsi que les Autorités de Contrôle, et de documenter la Violation de Données à caractère personnel. Cette notification sera adressée par le Sous-traitant au point de contact renseigné par le Responsable de traitement dans la présente Convention en Annexe III a ;
4.8.6_ assistera le Responsable du traitement lors d’une Analyse d’impact relative à la protection des données comme requis sur la base de l’article 35 du RGPD concernant les Services fournis au Responsable du traitement par le Sous-traitant et les Données à caractère personnel qui sont traitées par le Sous-traitant pour le compte du Responsable du traitement ;
4.8.7_ traitera toutes les questions du Responsable du traitement concernant son Traitement des Données à caractère personnel (par exemple en permettant au Responsable du traitement de réagir en temps utile aux réclamations ou demandes des Intéressés) et se conformera à l’avis rendu par l’Autorité de Contrôle concernant le Traitement des données transmises ;
4.8.8_ s’exécutera immédiatement, si et dans la mesure où le Sous-traitant est tenu ou reçoit la demande de corriger, effacer et/ou bloquer les Données à caractère personnel qui sont traitées sur la base de la présente Convention. Si et dans la mesure où les Données à caractère personnel ne peuvent être effacées sur la base d’exigences légales en matière de conservation des données, le Sous-traitant sera tenu, au lieu d’effacer les Données à caractère personnel en question, de limiter le Traitement et/ou toute utilisation desdites Données à caractère personnel ou encore de supprimer l’identité y afférente des Données à caractère personnel (à désigner ci-après : « bloquer »), Si une telle obligation de blocage est applicable au Sous-traitant, le Sous-traitant devra effacer les Données à caractère personnel au plus tard le dernier jour de l’année civile au cours de laquelle se termine le délai de conservation.

5. Sous-traitance et transmission de Données à caractère personnel

5.1_ Le Responsable du traitement autorise le Sous-traitant à recourir à un ou plusieurs Sous-sous-traitants afin de fournir les Services, lesquels sont mentionnés sur chaque fiche de produit (voir Annexe III b).

5.2_ Si le Sous-traitant a l’intention de faire intervenir un nouveau Sous-sous-traitant ou davantage de Sous-traitants, le Sous-traitant devra préalablement informer le Responsable du traitement des modifications envisagées concernant l’ajout ou le remplacement de tout Sous-sous-traitant (« Notification de Sous-sous-traitant »), Si le Responsable du traitement a des raisons fondées d’émettre une objection au recours à de nouveaux Sous-sous-traitants ou à davantage de Sous-sous-traitants, le Responsable du traitement devra en informer immédiatement le Sous-traitant par écrit dans un délai de quatorze (14) jours calendaires suivant la réception de la Notification de Sous-sous-traitant. Si le Responsable du traitement émet une objection qui n’est pas déraisonnable, le Sous-traitant consentira des efforts raisonnables afin de mettre des modifications dans les Services à la disposition du Responsable du traitement ou de recommander une modification commerciale raisonnable de la configuration du Responsable du traitement ou de l’utilisation des Services par le Responsable du traitement afin de prévenir tout Traitement de Données à caractère personnel par le nouveau Sous-soustraitant ou le Sous-sous-traitant supplémentaire et ce, sans impacter le Responsable du traitement de manière déraisonnable par cette intervention. Si le Sous-traitant n’est pas en mesure de mettre cette modification à disposition dans un délai raisonnable, délai ne pouvant être supérieur à soixante (60) jours, le Responsable du traitement pourra mettre fin à la partie concernée du Contrat, et ce, uniquement toutefois concernant les Services qui ne peuvent être fournis par le Sous-traitant sans avoir recours au nouveau Sous-sous-traitant ou au Sous-sous-traitant supplémentaire par le biais d’une notification écrite au Sous-traitant.

5.3_ Le Sous-traitant imposera contractuellement à tous les Sous-sous-traitants les mêmes obligations en matière de protection des données que celles visées dans la présente Convention. Le Contrat entre le Sous-traitant et le Sous-sous-traitant offrira suffisamment de garanties quant à l’application des Mesures techniques et organisationnelles de sécurité visées dans l’Annexe III b, pour autant que ces Mesures techniques et organisationnelles de sécurité aient une quelconque importance pour les services fournis par le Sous-sous-traitant.

5.4_ Le Sous-traitant choisit les Sous-sous-traitant avec tout le soin nécessaire.

5.5_ Si un tel Sous-sous-traitant se trouve dans un Pays Tiers, le Sous-traitant conclura à la demande écrite du Responsable du traitement, un contrat type UE (Responsable du traitement > Sous-traitant) en faveur du Responsable du traitement (au nom du Responsable du traitement), en vertu de la Décision 2010/87/UE ou prendra d’autres mesures similaires afin de protéger les Données à caractère personnel. Dans ce cas, le Responsable du traitement donnera des instructions au Sous-traitant et l’autorisera à donner des instructions au Sous-sous-traitant au nom du Responsable du traitement et à utiliser tous les droits du Responsable du traitement à l’égard du Sous-sous-traitant sur la base du contrat type UE ou des autres mesures prises.

5.6_ Le Sous-traitant reste responsable à l’égard du Responsable du traitement quant au respect des obligations du Sous-sous-traitant, dans l’éventualité où le Sous-sous-traitant ne respecterait pas ses obligations, Le Sous-traitant n’est toutefois pas responsable des dommages et demandes découlant d’instructions données par le Responsable du traitement aux Sous-sous-traitants.

6. Limitation de la responsabilité

Toute responsabilité découlant ou présentant un lien avec le présent Avenant suit et est exclusivement régie par les dispositions en matière de responsabilité énoncées dans le Contrat ou applicables de toute autre manière au Contrat, Par conséquent, et pour le calcul des limites de responsabilité et/ou afin de déterminer l’application d’autres limitations de responsabilité, toute responsabilité invoquée sur la base du présent Avenant sera réputée être invoquée sur la base du Contrat en question.

7. Durée et extinction

7.1_ La durée de la présente Convention est égale à celle du Contrat y afférente. Sauf disposition contraire dans la présente Convention, les droits et obligations en matière d’extinction sont les mêmes que les droits et obligations repris dans le Contrat y afférent.

7.2_ Après l’extinction des prestations des Services, le Sous-traitant devra, au choix du Responsable du traitement, effacer toutes les Données à caractère personnel ou les retourner au Responsable du traitement, et effacer toutes les copies existantes à moins que le Sous-traitant soit tenu de conserver ces Données à caractère personnel en vertu d’une législation UE ou de la législation d’un État membre.

8. Divers

8.1_ Les autres modalités du Contrat restent applicables de manière inchangée, Les dispositions de la présente Convention prévaudront en cas de contradiction entre la présente Convention et le Contrat en matière de respect de la vie privée et de protection des données,

8.2_ La non-validité ou le caractère non exécutoire d’une quelconque disposition de la présente Convention n’a aucune incidence sur la validité et le caractère exécutoire des autres dispositions de la présente Convention. La disposition non valide ou non exécutoire sera (4.8.1) modifiée de manière à en garantir la validité et le caractère exécutoire tout en conservant le plus possible l’intention initiale des Parties ou – si ce n’est pas possible – (4.8.2) expliquée comme si la partie non valide ou non exécutoire en question n’avait jamais été reprise, Ce qui précède est également applicable si le présent Avenant comporte une omission.

8.3_ La présente Convention est régie par le droit français, En cas de contestation en rapport avec l’exécution ou l’interprétation de la présente Convention, les Parties conviennent de rechercher une solution amiable.
À cet effet, la Partie s’estimant fondée à faire valoir un droit adressera un courrier recommandé avec accusé de réception à l’autre Partie. Si, dans un délai de trente (30) jours à compter de la réception de ce courrier recommandé, le différend demeurait, il relèvera du ressort exclusif des tribunaux compétents de Strasbourg.