Accord sur le traitement des données – Datatorq
Le présent accord sur le traitement des données (« l’accord ») fait partie du contrat de
Services (« Accord principal ») entre
_____________________
_____________________
_____________________
(la « Société ») et
Datatorq SAS
52 rue Monge
75005 Paris
France
(le « responsable du traitement des données »)
(ci-après dénommées collectivement les « parties »)
CONSIDÉRANT
(A) La société agit en tant que contrôleur de données.
(B) La société souhaite sous-traiter certains services, qui impliquent le traitement de données à caractère personnel, au responsable du traitement des données.
(C) Les parties cherchent à mettre en œuvre un accord de traitement des données conforme aux exigences du cadre juridique actuel en matière de traitement des données et au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
(D) Les parties souhaitent définir leurs droits et obligations.
IL EST CONVENU CE QUI SUIT :
1. Définitions et interprétation
1.1 Sauf définition contraire, les termes et expressions en majuscules utilisés dans le présent accord ont la signification suivante :
1.1.1 « Accord » désigne le présent Accord sur le traitement des données et toutes les annexes ;
1.1.2 « Données personnelles de la Société » signifie toute donnée personnelle traitée par un sous-traitant pour le compte de la Société en vertu de l’Accord principal ou en relation avec celui-ci ;
1.1.3 « Sous-traitant sous contrat » : un soustraitant ;
1.1.4 « Lois sur la protection des données » : les lois européennes sur la protection des données et, dans la mesure où elles sont applicables, les lois sur la protection des données ou de la vie privée de tout autre pays ;
1.1.5 « EEE » : Espace économique européen ;
1.1.6 « Lois européennes sur la protection des données » : la directive 95/46/CE de l’UE, telle que transposée dans la législation nationale de chaque État membre et telle que modifiée, remplacée ou annulée de temps à autre, y compris par le GDPR et les lois mettant en œuvre ou complétant le GDPR ;
1.1.7 « GDPR » signifie le règlement général de l’UE sur la protection des données 2016/679 ;
1.1.8 « Transfert de données » signifie :
1.1.8.1 un transfert de données à caractère personnel de l’entreprise de l’entreprise à un sous-traitant ; ou
1.1.8.2 un transfert ultérieur de Données à caractère personnel de la Société d’un Sous-traitant sous contrat à un Sous-traitant sous contrat, ou entre deux établissements d’un Sous-traitant sous contrat, dans chaque cas, lorsque ce transfert serait interdit par les Lois sur la protection des données (ou par les termes des accords de transfert de données mis en place pour traiter les restrictions de transfert de données des Lois sur la protection des données) ;
1.1.9 « Services » : les services d’analyse et de données fournis par la Société.
1.1.10 « Sous-traitant » désigne toute personne désignée par ou au nom du Processeur pour traiter les Données à caractère personnel au nom de la Société dans le cadre de l’Accord.
1.2 Les termes « Commission », « responsable du traitement », « personne concernée », « État membre », « données à caractère personnel », « violation de données à caractère personnel », « traitement » et « autorité de contrôle » ont la même signification que dans le GDPR, et leurs équivalents doivent être interprétés en conséquence.
2. Traitement des données à caractère personnel des entreprises
2.1 Le processeur doit :
2.1.1 se conformer à toutes les lois applicables en matière de protection des données dans le cadre du traitement des données personnelles de l’entreprise ; et
2.1.2 ne pas traiter les données à caractère personnel de l’entreprise autrement que selon les instructions documentées de l’entreprise concernée.
2.2 La société charge le sous-traitant de traiter les données personnelles de la société.
3. Personnel du processeur
Le sous-traitant prend des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou sous-traitant d’un sous-traitant sous contrat qui peut avoir accès aux données personnelles de l’entreprise, en veillant dans chaque cas à ce que l’accès soit strictement limité aux personnes qui ont besoin de connaître / d’accéder aux données personnelles de l’entreprise concernées, dans la mesure strictement nécessaire aux fins de l’accord principal, et de se conformer aux lois applicables dans le cadre des fonctions de cette personne auprès du sous-traitant sous contrat, en veillant à ce que toutes ces personnes soient soumises à des engagements de confidentialité ou à des obligations professionnelles ou statutaires de confidentialité.
4. La sécurité
4.1 Compte tenu de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le sous-traitant met en œuvre, en ce qui concerne les données à caractère personnel de la société, les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l’article 32, paragraphe 1, du RGPD.
4.2 Lors de l’évaluation du niveau de sécurité approprié, le sous-traitant tient compte en particulier des risques présentés par le traitement, notamment en cas de violation de données à caractère personnel.
5. Sous-traitement
5.1 Le sous-traitant ne doit pas nommer (ou divulguer des données personnelles de la Société à) un sous-traitant ultérieur à moins que la Société ne l’exige ou ne l’autorise.
6. Droits des personnes concernées
6.1 Compte tenu de la nature du traitement, le sous-traitant aide la société en mettant en œuvre les mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir les obligations de la société, telles qu’elles sont raisonnablement comprises par la société, afin de répondre aux demandes d’exercice des droits des personnes concernées en vertu des lois sur la protection des données.
6.2 Le processeur doit :
6.2.1 informer rapidement la Société si elle reçoit une demande d’une personne concernée en vertu d’une loi sur la protection des données en ce qui concerne les données personnelles de la Société ; et
6.2.2 s’assurer qu’il ne répond pas à cette demande, sauf sur instructions documentées de la Société ou conformément aux lois applicables auxquelles le sous-traitant est soumis, auquel cas le sous-traitant doit, dans la mesure permise par les lois applicables, informer la Société de cette exigence légale avant que le sous-traitant ne réponde à la demande.
7. Violation de données à caractère personnel
7.1 Le Processeur doit notifier la Société dans les meilleurs délais dès que le Processeur a connaissance d’une violation de données personnelles affectant les données personnelles de la Société, en fournissant à la Société des informations suffisantes pour permettre à la Société de respecter toute obligation de signaler ou d’informer les personnes concernées de la violation de données personnelles en vertu des lois sur la protection des données.
7.2 Le Processeur doit coopérer avec la Société et prendre des mesures commerciales raisonnables, selon les instructions de la Société, pour contribuer à l’enquête, à l’atténuation et à la réparation de chaque violation de données à caractère personnel.
8. Évaluation de l’impact sur la protection des données et consultation préalable Le sous-traitant fournira une assistance raisonnable à la Société pour toute évaluation de l’impact sur la protection des données et toute consultation préalable avec les autorités de contrôle ou autres autorités compétentes en matière de confidentialité des données, que la Société considère raisonnablement comme étant requises par l’article 35 ou 36 du GDPR ou les dispositions équivalentes de toute autre loi sur la protection des données, dans chaque cas uniquement en relation avec le traitement des données personnelles de la Société par les sous-traitants sous contrat et en tenant compte de la nature du traitement et des informations disponibles pour ces derniers.
9. Suppression ou restitution des données à caractère personnel de l’entreprise
9.1 Sous réserve de la présente section 9, le sous-traitant doit rapidement et en tout état de cause dans les délais suivants
10 jours ouvrables à compter de la date de cessation de tout service impliquant le traitement de données à caractère personnel de l’entreprise (la « date de cessation »), supprimer et faire supprimer toutes les copies de ces données à caractère personnel de l’entreprise.
10. Droits d’audit
10.1 Sous réserve du présent article 10, le sous-traitant met à la disposition de la Société, sur demande, toutes les informations nécessaires pour démontrer le respect du présent Accord, et autorise et contribue aux audits, y compris les inspections, de la Société ou d’un auditeur mandaté par la Société en ce qui concerne le traitement des données à caractère personnel de la Société par les sous-traitants sous contrat.
10.2 Les droits d’information et d’audit de l’Entreprise ne découlent de l’article 10.1 que dans la mesure où l’Accord ne leur confère pas par ailleurs des droits d’information et d’audit répondant aux exigences pertinentes de la loi sur la protection des données.
11. Transfert de données
11.1 Le sous-traitant ne peut transférer ou autoriser le transfert de données vers des pays situés en dehors de l’UE et/ou de l’Espace économique européen (EEE) sans le consentement écrit préalable de la Société. Si les données personnelles traitées dans le cadre du présent Accord sont transférées d’un pays de l’Espace économique européen vers un pays situé en dehors de l’Espace économique européen, les Parties veilleront à ce que les données personnelles soient protégées de manière adéquate. Pour ce faire, les parties s’appuient, sauf accord contraire, sur les clauses contractuelles types approuvées par l’UE pour le transfert de données à caractère personnel.
12. Conditions générales
12.1 Confidentialité. Chaque partie doit préserver la confidentialité du présent accord et des informations qu’elle reçoit sur l’autre partie et ses activités dans le cadre du présent accord (« informations confidentielles ») et ne doit pas utiliser ou divulguer ces informations confidentielles sans l’accord écrit préalable de l’autre partie, sauf dans la mesure où :
(a) la divulgation est exigée par la loi ;
(b) les informations pertinentes sont déjà dans le domaine public.
12.2 Avis. Toutes les notifications et communications effectuées dans le cadre du présent accord doivent être faites par écrit et seront remises en mains propres, envoyées par la poste ou par courrier électronique à l’adresse ou à l’adresse électronique indiquée dans l’en-tête du présent accord, ou à toute autre adresse notifiée de temps à autre par les parties qui changent d’adresse.
13. Droit applicable et juridiction
13.1 Le présent accord est régi par les lois de _______________.
13.2 Tout litige lié au présent accord que les parties ne seraient pas en mesure de résoudre à l’amiable sera soumis à la compétence exclusive des tribunaux de _________________, sous réserve d’un recours possible à __________________________________.
EN FOI DE QUOI, le présent accord est conclu avec effet à la première date indiquée ci-dessous.
Datatorq
Signature ______________________________
Nom : Anton Golche
Titre : Président
Date de signature : 21/03/2024
Société de traitement
Signature ______________________________
Name _________________________________
Title __________________________________
Date Signé ____________________________