Clause relative à la protection des données

Traitements mis en œuvre par le fournisseur en qualité de sous-traitant

1. Le fournisseur propose au client des prestations d’installation et de maintenance des livrables, services pour lesquels le personnel du fournisseur dispose de toutes les compétences nécessaires, notamment, en ce qui concerne le respect des réglementations en vigueur.

2. Dans le cadre de l’exécution du contrat, le fournisseur sera amené à traiter des données à caractère personnel pour le compte et sur les instructions du client.

3. En conséquence, le client agit en tant que responsable des traitements et le fournisseur en tant que sous-traitant au sens de la réglementation applicable en France et dans l’Union européenne dans le domaine de la protection des données à caractère personnel.

4. A ce titre, le fournisseur s’engage à traiter les données à caractère personnel confiées par le client dans le respect de ses instructions écrites décrite ci-après et que le fournisseur déclare expressément être en mesure de respecter.

5. Le fournisseur sera amené à traiter des données à caractère personnel dans le cadre des opérations d’installation et de maintenance des livrables, opérations réalisées au nom et pour le compte du client.

6. Le client communique par écrit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel traitées, ainsi que les catégories de personnes concernées par le traitement réalisé par le fournisseur pour le compte du client avant l’entrée en application des présentes.

7. Les parties sont tenues de respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (règlement général sur la protection des données ou « RGPD ») et la loi française n° 78-17 du 6 janvier 1978 modifiée, relative à l'informatique, aux fichiers et aux libertés modifiée (ci-après la « règlementation applicable sur la protection des données personnelles »).

8. Conformément à cette règlementation, le client est qualifié de « Responsable de traitement » et le fournisseur, est qualifiée de « Sous-traitant ».

9. Le client, s’agissant des données à caractère personnel dont il est responsable et auxquelles, le fournisseur aurait accès au titre de l’exécution des prestations, est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

10. Le client s’engage en outre à :

- Documenter par écrit toute instruction concernant le traitement des données par le fournisseur. Cette disposition ne fait pas obstacle au traitement des données par le fournisseur lorsqu’il est tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel il est soumis ; dans ce cas, le fournisseur informe le client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;
- Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par la règlementation applicable sur la protection des données personnelles de la part du fournisseur ;
- Superviser le traitement, y compris réaliser les audits et les inspections auprès du fournisseur.

11. Le fournisseur ne peut agir que sur instruction du client et s’oblige à prendre toutes les mesures nécessaires au respect par lui-même et par son personnel de ces obligations et notamment, sauf instruction contraire du client, à :

- Ne pas traiter, consulter les données ou les fichiers contenus à d’autres fins que l’exécution des prestations qu’elle effectue pour le client au titre des présentes ;
- Ne pas insérer dans les fichiers des données étrangères ;
- Ne pas consulter ou traiter de données autres que celles concernées par les prestations et ce, même si l’accès à ces données est techniquement possible ;
- Ne pas divulguer, sous quelque forme que ce soit, tout ou partie des données concernées ;
- Ne pas prendre copie ou de stocker, quelles qu'en soit la forme et la finalité, tout ou partie des informations ou données contenues sur les supports ou documents qui lui ont été confiés ou recueillies par elle au cours de l'exécution du contrat ;
- Informer immédiatement le client si, selon elle, une instruction constitue une violation de la règlementation applicable sur la protection des données personnelles.

12. Les parties conviennent de définir la notion d’instruction comme étant acquise lorsque le fournisseur agit dans le cadre de l’exécution des conditions générales de prestation de service et matériel ou des conditions particulières.

13. Le fournisseur s’engage à prendre toute mesure utile afin de garantir que les personnes physiques agissant sous son autorité et ayant accès aux données personnelles ne les traitent pas, excepté sur instruction du client. Le fournisseur veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité des données ou soient soumises à une obligation légale appropriée de confidentialité.

14. Le fournisseur s’engage, au regard de la nature des données et des risques présentés par le traitement, et compte tenu de l'état des connaissances, les coûts de mise en œuvre et la nature, portée, contexte et les finalités du traitement, ainsi que les risques pour les droits et libertés des personnes physiques, à prendre les mesures techniques et organisationnelles appropriées pour préserver la sécurité des données et notamment empêcher toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation et/ou tout accès par des tiers non autorisés préalablement.

15. Il appartient au client de s’assurer que les mesures de sécurité et de confidentialité offertes par le fournisseur sont en adéquation avec le niveau de précaution que le client doit prendre au regard de son obligation de sécurité des données à caractère personnel dont il est responsable, et que les garanties présentées par le fournisseur à cet effet sont suffisantes.

16. Le fournisseur s’engage à maintenir les mesures de sécurité et de confidentialité des données tout au cours de l’exécution des présentes. En tout état de cause, en cas de changement de ces mesures il s’engage à les remplacer par des mesures d’une performance équivalente et à en informer immédiatement le client.

17. Le fournisseur s’engage à notifier au client, dans les meilleurs délais après en avoir pris connaissance, toute violation de donnée à caractère personnel soit toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

18. Cette notification doit préciser, dans la mesure du possible, la nature et les conséquences de la violation des données, les mesures déjà prises ou celles qui sont proposées pour y remédier. Le fournisseur s’engage à collaborer activement avec le client pour qu’ils soient en mesure de répondre à leurs obligations réglementaires et contractuelles. Il revient uniquement au client, en tant que responsable du traitement, de notifier cette violation de données à l’autorité de contrôle compétente ainsi que, le cas échéant, à la personne concernée.

19. Le fournisseur ne peut sous-traiter, au sens de la règlementation applicable en matière de données personnelles, tout ou partie des prestations, notamment vers un pays qui n’est pas situé dans le cadre de l’Union européenne sans l’autorisation du client. Le client autorise par les présentes Elit Solutions à recourir aux sous-traitants identifiés dans le registre de sous-traitants, conformément aux conditions décrites à l’article 22 des conditions générales de prestations de service et matériel. Le fournisseur notifiera au client par écrit toute modification envisagée de la liste des sous-traitants autorisés. Le client devra informer le fournisseur par écrit de toute objection à ces modifications, dans les plus brefs délais et, en tout état de cause, dans un délai maximum de 10 jours ouvrés à compter de la réception du courrier. Le fournisseur devra exiger de ses sous-traitants qu’ils soient tenus contractuellement de respecter les mêmes obligations, en matière de protection des données, que celles mis à la charge du fournisseur par le client.

20. Le fournisseur fournit au client une assistance raisonnable afin de permettre :

- La gestion des demandes des personnes concernées par les traitements tendant à l’exercice de leurs droits ;
- La réalisation de toute analyse d’impact que le client déciderait d’effectuer, afin d’évaluer les risques qu’un traitement fait peser sur les droits et libertés des personnes et d’identifier les mesures à mettre en œuvre pour faire face à ces risques, et la consultation de l’autorité de contrôle ;
- Plus généralement, le respect des obligations pesant sur le client au regard de la règlementation applicable sur la protection des données personnelles, telles que notamment ses obligations de notification à l’autorité de contrôle et de communication d’une violation de données aux personnes concernées.

21. Le client prendra à sa charge les coûts raisonnables occasionnés par cette assistance.

22. A la fin des prestations, le fournisseur devra restituer ou supprimer toutes données à caractère personnel à première demande du client.

23. Les parties s’appuieront sur les clauses contractuelles types pour les transferts de données à caractère personnel vers des sous-traitants établis dans des pays tiers en date du 5 février 2010 (2010/87/UE) et leurs éventuelles modifications ultérieures en cas de transfert vers un pays situé hors de l’Union européenne ou qui n’est pas reconnu comme fournissant un niveau adéquat de protection.

plus d’informations : dpo@elit-sa.com