Clauses de sous-traitance relatives à la Protection des Données
Version décembre 2023
Les présentes clauses sont annexées aux Conditions Générales de Vente (CGV) de Mon Expert RGPD et sont conclues entre:
le Client ayant accepté les Conditions Générales de Vente (CGV) lors de la signature du devis (ci-après le Responsable des traitements)
et
Mon Expert RGPD (ci-après le Sous-traitant), société HOPE SAS immatriculée au registre du commerce et des sociétés de Paris sous le numéro 850 745 159 dont le siège social est situé au 82 Boulevard Haussmann 75008 Paris
1. Objet de la sous-traitance
Les présentes clauses ont pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable du Traitement les opérations de traitement de données à caractère personnel définies ci-après.
Elles sont rédigées conformément aux exigences de l’article 28 du Règlement Européen à la Protection des Données (RGPD) (UE) 2016/679.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018.
2. Invariabilité des clauses
- Les parties s’engagent à ne pas modifier les clauses, sauf en ce qui concerne la mise à jour des informations qui y figurent.
- Les parties ne sont pour autant pas empêchées d’inclure ni d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses ou qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
3. Description du traitement
- Le Sous-traitant est autorisé à traiter pour le compte du Responsable du Traitement les données à caractère personnel nécessaires pour fournir les services nécessaires à la finalité qui est la mise en conformité du client au Règlement Général à la Protection des Données : utilisation d’une plateforme de gestion de la conformité, création des différents registres, mise en place de la gestion du droit des personnes, documentation obligatoire, mise en place du registre des violations, sensibilisation , formation, AIPD le cas échéant.
- Catégories de données à caractère personnel pouvant être traitées : Données d’identification (nom,prénom, adresses, coordonnées, fonction…).
- Catégories de personnes concernées dont les données à caractère personnel pouvant être traitées : membres de l’entreprise du Client, personnes exerçant leurs droits, données relatives aux sous-traitants, etc.
- Le Sous-traitant assure l’hébergement des données et leur sécurisation sur une plateforme de gestion de la conformité.
- La plateforme d’hébergement utilisée par le Sous-traitant n’ayant pas la qualité d’hébergeur certifié de données de santé (HDS), le Client ne doit pas transmettre ou communiquer de données relatives à la santé des personnes recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social.
4.Durée de la sous-traitance
À compter de la signature du contrat et pendant toute sa durée.
5. Obligations des parties
Obligations du sous-traitant
- Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement et pour les finalités objet du traitement à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis.
- Dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.
- Le sous-traitant informe le responsable du traitement , si selon lui, une instruction donnée par le responsable du traitement constitue une violation du 2016/679 ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.
- Le sous-traitant met en place les mesures de sécurité et organisationnelles nécessaires pour assurer la sécurité des données
Obligations du Responsable du Traitement
- Le Responsable du traitement demeure exclusivement responsable du respect de ses propres obligations légales et réglementaires en matière de traitement des données personnelles.
- Le Responsable du Traitement s’engage à :
- fournir au Sous-traitant les données nécessaires à l’accomplissement de sa mission
- documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant.
- Informer sans délai le Sous-traitant de toute erreur ou irrégularité dont il a connaissance et portant sur ses instructions ou sur les données transmises
- veiller à ce que les données à caractère personnel transmises au sous-traitant soient exactes et à jour.
6. Sous-traitance ultérieure
- Le Sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le Sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le Responsable du Traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants ultérieurs. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du Sous-traitant ultérieur et les dates du contrat de sous-traitance.
- Le Responsable du Traitement dispose d’un délai minimum d’un mois à compter de la date de réception de cette information pour présenter ses objections.
- Cette sous-traitance ne peut être effectuée que si le Responsable du Traitement n’a pas émis d’objection pendant le délai convenu.
- Le Sous-traitant ultérieur est tenu de respecter les obligations du présent Contrat pour le compte et selon les instructions du Responsable du Traitement. Il appartient au Sous-traitant initial de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement européen sur la protection des données.
- Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le Responsable du Traitement de l’exécution par l’autre Sous-traitant de ses obligations.
- La liste des Sous-traitants ultérieurs autorisés à la signature du devis est annexée aux présentes clauses (Annexe 1).
- À la demande du responsable du traitement, le sous-traitant lui fournit une copie du contrat conclu avec le sous traitant ultérieur et de toute modification qui y est apportée ultérieurement. Dans la mesure nécessaire à la protection des secrets d’affaires ou d’autres informations confidentielles, y compris les données à caractère personnel, le sous traitant peut expurger le texte du contrat avant d’en diffuser une copie.
7. Mesures techniques et organisationnelles, y compris mesures visant à garantir la sécurité des données
- Le sous-traitant met au moins en œuvre les mesures techniques et organisationnelles précisées dans ces clauses pour assurer la sécurité des données à caractère personnel.
- Figure parmi ces mesures la protection des données contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel ou l’accès non autorisé à de telles données (violation de données à caractère personnel).
- Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.
- Le sous-traitant n’accorde aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du contrat.
- Le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
- Le Sous-traitant met en place une politique de mots de passe selon les recommandations de l’ANSSI et de la CNIL et veille à l’ utilisation de coffres-forts numériques
8. Documentation et conformité
- Les parties doivent pouvoir démontrer qu’elles sont en conformité avec les présentes clauses.
- Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et découlant directement du règlement (UE) 2016/679.
- Les parties mettent à la disposition de l’autorité de contrôle compétente/des autorités de contrôle compétentes, dès que celles-ci en font la demande, les informations énoncées dans la présente clause, y compris les résultats de tout audit.
9. Transferts internationaux
Tout transfert de données vers un pays tiers ou une organisation internationale par le sous-traitant n’est effectué que sur la base d’instructions documentées du responsable du traitement ou afin de satisfaire à une exigence spécifique du droit de l’Union ou du droit de l’État membre à laquelle le sous-traitant est soumis et s’effectue conformément au chapitre V du règlement (UE) 2016/679.
10. Droit d’information des personnes concernées
Il appartient au Responsable du Traitement de fournir l’information aux Personnes concernées par les opérations de traitement au moment de la collecte des données.
11. Assistance au responsable du traitement
- Le sous-traitant informe le responsable du traitement de toute demande d’exercice de droits qu’il a reçue de la part de la personne concernée.
- Il ne donne pas lui-même suite à cette demande, mais peut aider dans la mesure du possible le responsable des traitements à traiter ces demandes .
- Dans tous les cas, le sous-traitant se conforme aux instructions du responsable des traitements.
- Outre l’obligation incombant au sous-traitant d’assister le responsable du traitement pour les demandes d’exercice de droits, le sous-traitant aide en outre le responsable du traitement à garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont dispose le sous-traitant :
- 1° : l’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des données à caractère personnel («analyse d’impact relative à la protection des données») lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques;
- 2° : l’obligation de consulter l’autorité de contrôle compétente préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque;
- 3° : en informant sans délai le responsable du traitement si le sous-traitant apprend que les données à caractère personnel qu’il traite sont inexactes ou sont devenues obsolètes;
12. Violations de données à caractère personnel
En cas de violation de données à caractère personnel, le Sous-traitant coopère avec le Responsable du traitement et lui prête assistance:
- Le Sous-traitant notifie au Responsable du Traitement toute violation de données à caractère personnel dont il a connaissance dans les meilleurs délais et par tout moyen utile permettant au Responsable du Traitement d’agir dans les meilleures conditions.
- Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable du Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
- Le Sous-traitant prend toute mesure nécessaire pour identifier et remédier le cas échéant aux violations de données dont il aurait le contrôle.
13. Non respect des clauses et Résiliation
Le responsable du traitement est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel conformément aux présentes clauses si :
- le sous-traitant est en violation grave ou persistante des présentes clauses ou des obligations qui lui incombent en vertu du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725 ;
- le sous-traitant ne se conforme pas à une décision contraignante d’une juridiction compétente ou de l’autorité de contrôle compétente/des autorités de contrôle compétentes concernant les obligations qui lui incombent en vertu des présentes clauses ou du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.
Le sous-traitant est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel lorsque, après avoir informé le responsable du traitement que ses instructions enfreignent les exigences juridiques applicables, le responsable du traitement insiste pour que ses instructions soient suivies.
14. Sort des données
À la suite de la résiliation du contrat ou à l’expiration du contrat, le sous-traitant supprime, selon le choix du responsable du traitement, toutes les données à caractère personnel traitées pour le compte du responsable du traitement et certifie auprès de celui-ci qu’il a procédé à cette suppression, ou renvoie toutes les données à caractère personnel au responsable du traitement et toutes les copies existantes, à moins que le droit de l’Union ou le droit national n’impose de les conserver plus longtemps.
Annexe 1
Liste des sous-traitants ultérieurs
Sous-traitant ultérieur | Contact | Localisation des données | Activité sous-traitée |
Dastra SAS | France | Plateforme de gestion de la conformité | |
EL HADJJAM Samia | France | Gestion de la conformité | |
Google Paris 8 Rue de Londres 75009 Paris France
Google Inc. 1600 Amphitheatre Parkway Mountain View, CA 94043 | États-Unis (DPA disponible) | Service de visioconférence et d’hébergement de documentation |