All in Box – RGPD

RGPD

Règlement européen sur la protection des données personnelles. Clauses contractuelles de sous-traitance.

RGPD

ACCORD DE TRAITEMENT DE LA DONNÉE

 

Le souscripteur, ci-après, « le responsable de traitement») d’une part,

ET

SAS All In Box située 12 rue Michel de Montaigne, 54425 Pulnoy et représentée par Vincent Arnould (Ci-après, « le sous-traitant») d’autre part.



  1. Objet 

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après. Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la règlementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »). 

 

  1. Description du traitement faisant l’objet de la sous-traitance 

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) : envoi de courrier électronique, envoi de sms à caractère commercial, prospection commerciale, messages d’informations adressés sur les produits et services de la société, des membres de son réseau, ainsi que de leurs partenaires et prestataires. La nature des opérations réalisées sur les données est la collecte et l’hébergement sur serveur sécurisé, l’hébergement et la réalisation de site web. La ou les finalité(s) du traitement sont gestion de la clientèle, enquête de satisfaction, relance commerciale.

Les données à caractère personnel traitées sont : 

nom
prénom
date de naissance
téléphone
mail
date et heure d’inscription
code postal 

Les catégories de personnes concernées sont les visiteurs/clients physiques et digitaux du souscripteur. Pour l’exécution du service objet du présent contrat, le responsable de traitement met à la disposition du sous-traitant les informations nécessaires suivantes […]. 



III. Durée du contrat 

Le présent contrat entre en vigueur à compter de la signature de la lettre de mission. 

 

  1. Obligations du sous-traitant vis-à-vis du responsable de traitement 

Le sous-traitant s’engage à : 

 

    1. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance

    2. traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe du présent contrat. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

    3. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat

    4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
      – S’engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité ́.
      Reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

  • prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut

    1. Sous-traitance
      Le sous-traitant est autorisé à faire appel à l’entité Propuls Conseil, domiciliée 29 rue de Garennes 57155 MARLY, immatriculé au RCS de Nancy sous le numéro 53343468400015 ci-après, le « sous-traitant ultérieur ») pour mener les activités de traitement suivantes : mise à disposition de solutions de collectes physiques, OVH SAS au capital de 10 059 500 € RCS Lille Métropole 424 761 419 00045 Code APE 6202A N° TVA : FR 22 424 761 419 Siège social : 2 rue Kellermann 59100 Roubaix pour mener les activités de hébergement de sites, Sendinblue 55 rue d’Amsterdam 75008 Paris, RCS 49801929800070 SAS au capital de 220 409€ pour mener les activités d’envois et de gestion de campagne email et sms.

      En cas de recrutement d’autres sous-traitants ultérieurs, le sous-traitant doit recueillir l’autorisation écrite préalable et spécifique du responsable de traitement.

      Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous- traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

  • Droit d’information des personnes concernées.

    Option A sans All In Box
    Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

    Option B avec All In Box (choix standardisé).
    Le sous-traitant, au moment de la collecte des données, doit fournir aux personnes concernées par les opérations de traitement l’information relative aux traitements de données qu’il réalise. La formulation et le format de l’information doivent être convenus avec le responsable de traitement avant la collecte de données. 

Sans notification contraire par mail au moment de la signature, le choix standard sera effectué avec All in Box.

  • Exercice des droits des personnes
    Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité́ des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
    Le sous-traitant doit répondre, au nom et pour le compte du responsable de traitement et dans les délais prévus par le règlement européen sur la protection des données aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la sous-traitance prévue par le présent contrat. 
  •  Notification des violations de données à caractère personnel
    Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par le moyen suivant: email. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

    La notification contient au moins :

    la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;

    – le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

    – la description des conséquences probables de la violation de données à caractère personnel ;

    – la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Si, et dans la mesure où il n’est pas possible de fournir toutes ces  informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. Après accord du responsable de traitement, le sous-traitant communique, au nom et pour le compte du  responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.
    La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :

    – la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;

    – le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

    – la description des conséquences probables de la violation de données à caractère personnel ;

    – la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

    1. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations :
      – Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.
      – Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.

  • Mesures de sécurité

    Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes : 
  • La codification des données à caractère personnel 
  • de garantir la confidentialité́, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;  
  • de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique; 
  • une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.


  • Sort des données
    Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à : Au choix des parties :

    détruire toutes les données à caractère personnel
    ou

    – renvoyer toutes les données à caractère personnel au responsable de traitement ou

    – à renvoyer les données à caractère personnel au sous-traitant désigné par le responsable de traitement.

    Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction. 


  • Délégué à la protection des données
    Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données.

  • Registre des catégories d’activités de traitement
    Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant:

  • le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous- traitants et, le cas échéant, du délégué à la protection des données; 
  • les catégories de traitements effectués pour le compte du responsable du traitement; 
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des
    données, les documents attestant de l’existence de garanties appropriées; 
  • Décrire les mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque


  • Documentation
    Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

  1. Obligations du responsable de traitement vis-à-vis du sous-traitant.

Le responsable de traitement s’engage à

  • fournir au sous-traitant les données visées au II des présentes clauses,
  • documenter par écrit toute instruction concernant le traitement des données par le sous- traitant,
  • veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant, 

superviser le traitement, y compris réaliser les audits et les inspections auprès du sous- traitant.