Dernière mise à jour le 30 janvier 2025
Télécharger

Annexe C – Accord sur le traitement des données à caractère personnel (DPA)

Aux fins du présent Accord de Traitement des Données (ci-après dénommé l’ « Accord »), les termes commençant par une majuscule sont définis conformément au Contrat ou à la présente Annexe.

1. Contexte et Objet

Le Client, agissant en qualité de responsable du traitement (ci-après dénommé le « Responsable de Traitement »), a souscrit à un ou plusieurs Services auprès de Partoo, en vertu des Conditions Générales de Partoo (ou « CG ») ou d’un contrat spécifique (ci-après collectivement dénommés le « Contrat », qu’il s’agisse des CG ou d’un contrat spécifique).

Le Responsable de Traitement met à la disposition de Partoo les données personnelles nécessaires à l’exécution du Contrat (ci-après collectivement dénommées les « Données Personnelles »). À cet égard, Partoo se voit attribuer le statut de sous-traitant (ci-après dénommé le « Sous-traitant ») conformément aux directives des autorités de contrôle. Par conséquent, l’objet des présentes clauses est de déterminer les conditions dans lesquelles le Sous-traitant s’engage à effectuer les opérations de traitement de Données Personnelles définies ci-après pour le compte du Responsable de Traitement.

2. Règlementation applicable

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur en vertu de la législation applicable au Contrat concernant le traitement des Données Personnelles (ci-après dénommée la « Réglementation sur la Protection des Données ») et notamment, le cas échéant, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après dénommé « RGPD »).

3. Description du traitement

3.1. Nature et objet du traitement

La nature des activités de traitement implique leur utilisation pour l’identification des personnes qui se connectent à la plateforme d’une part, ainsi que l’hébergement et la transmission des données chargées par les Utilisateurs et les tiers, y compris les clients du Responsable de Traitement, qui interagissent avec les Services, d’autre part.

La finalité du traitement est la mise en œuvre par le Sous-traitant de la collecte, de l’enregistrement, de la conservation, etc., pour le compte du Client, dans le cadre du Contrat et lorsque cela est nécessaire à l’exécution des Services.

Il est rappelé que, dans le cadre de sa relation commerciale avec le Responsable de Traitement, le Sous-traitant fournit principalement l’access aux Applications et Services Partoo. À l’exception des Utilisateurs dont les Données Personnelles sont traitées aux fins de la fourniture des services, le Sous-traitant n’a aucune obligation générale de surveillance du contenu hébergé sur ses Applications Partoo. Par conséquent, le Sous-traitant n’a pas connaissance du fait que le Client héberge ou non des Données Personnelles au sein des Services : à cet égard, il est expressément précisé que, dans le cadre de l’utilisation du produit Messages, le Responsable de Traitement demeure seul responsable de la fourniture des informations requises aux personnes concernées, du choix de la base légale appropriée pour le traitement, et de l’obtention de tout consentement nécessaire. Le Sous-traitant agit en effet exclusivement en tant que prestataire technique, assurant la transmission et l’hébergement temporaire des messages.

3.2. Finalité du traitement

Le Sous-traitant est autorisé à traiter les Données Personnelles des Utilisateurs afin de fournir les Services souscrits par le Responsable de Traitement, et notamment pour :

  • Fournir l’accès aux Utilisateurs;
  • Héberger et transmettre, pour le compte du Responsable de Traitement, les Données Personnelles que le Responsable de Traitement choisit de charger dans le cadre des Services :
  • Gestion de l’hébergement de l’application en mode SaaS
  • Gestion des sauvegardes et des mises à jour des Applications Partoo
  • Assurer la résolution des problèmes sur les Applications Partoo:
  • Support sur les Applications Partoo
  • Réponse aux demandes par chat en ligne
  • Accès aux comptes en ligne des Utilisateurs pour la résolution de problèmes
  • Prise en compte des retours des Utilisateurs
  • Résolution des tickets d’incidents
  • Conservation des journaux (logs) pour la traçabilité des incidents
  • Développement continu des Applications Partoo.

Outre le traitement des Données Personnelles des employés aux fins de la fourniture des services, tel que défini ci-dessus, le Sous-traitant se limite à l’hébergement et à la transmission des données qui peuvent être communiquées par le Responsable de Traitement ou sa personne de contact, le cas échéant, sur les Applications Partoo.

3.3. Catégories de Données Personnelles

Les catégories de Données Personnelles traitées sont les suivantes :

  • Données d’identification des Utilisateurs : nom, prénom;
  • Données professionnelles : intitulé du poste, adresse email professionnelle;
  • Données de connexion : journaux (logs) (informations d’horodatage, informations d’accès telles que l’adresse IP et le navigateur), données de navigation sur les Applications Partoo.

3.4. Catégories de personnes concernées

Les categories de personnes concernées sont :

  • Les Utilisateurs (employés du Responsable de Traitement)
  • Les personnes qui interagissent avec le Responsable de Traitement via le Site Éditeur.

4. Durée

Le présent Accord entre en vigueur à la signature du Contrat par les Parties et reste en vigueur pendant toute la durée du Contrat. Par conséquent, les Données Personnelles seront traitées pendant la durée du Contrat, puis seront archivées pour une durée de quatre-vingt-dix jours après la date de résiliation du Contrat.

5. Obligations du Sous-traitant envers le Responsable de Traitement

Le Sous-traitant s’engage à :

  1. Traiter les données uniquement aux fins de la sous-traitance, telles que définies ci-dessus.
  2. Traiter les données conformément aux services souscrits par le Client. Si le Sous-traitant considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition de la Réglementation sur la Protection des Données, il doit en informer immédiatement le Responsable de Traitement. En outre, si le Sous-traitant est tenu de transférer des données vers un pays tiers ou à une organisation internationale, il doit informer le Responsable de Traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
  3. Garantir la confidentialité des Données Personnelles traitées au titre du présent Accord (dans la mesure où le Responsable de Traitement ne rend pas son hébergement accessible à des tiers non autorisés et s’assure que les mesures de sécurité permettant la confidentialité sont prises, étant donné que le Responsable de Traitement dispose d’un accès complet aux Données Personnelles hébergées par le Sous-traitant).
  4. Veiller que les personnes autorisées à traiter les Données Personnelles en vertu du présent Accord:
  5. S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
  6. Reçoivent la formation nécessaire en matière de protection des Données Personnelles.
  7. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et par défaut (privacy by design and by default).

6. Sous-traitance ultérieure

6.1. Recours à un Sous-traitant Ultérieur

Le Sous-traitant a désigné plusieurs sous-traitants ultérieurs (ci-après dénommé un « Sous-traitant Ultérieur ») pour mener des activités de traitement spécifiques dans le cadre de la fourniture de ses Services, ce que le Responsable de Traitement autorise par la présente. La liste des Sous-traitants Ultérieurs approuvés par le Responsable de Traitement, au jour de la conclusion de l’Accord, est disponible sur la page web dédiée du Sous-traitant. Le Sous-traitant s’engage à mettre à jour régulièrement cette liste et à communiquer, sur simple demande du Responsable de Traitement, l’extrait de la liste mise à jour de l’ensemble de ses Sous-traitants Ultérieurs.

En cas de modification de la liste des Sous-traitants Ultérieurs, le Sous-traitant en informera le Responsable de Traitement. Cette information devra indiquer clairement les activités de traitement externalisées, l’identité et les coordonnées du Sous-traitant Ultérieur. Le Responsable de Traitement dispose d’un délai maximum de quinze (15) jours à compter de la réception de cette information pour formuler toute objection, en tout état de cause pour des motifs raisonnables liés à la protection des données. Dans le cas où le Responsable de Traitement s’opposerait à un nouveau Sous-traitant Ultérieur, le Sous-traitant pourra, à sa seule discrétion, choisir de : (i) fournir les Services sans faire appel au Sous-traitant Ultérieur objet de l’objection ; (ii) désigner un autre Sous-traitant Ultérieur ; ou (iii) résilier le Service spécifique ou la fonctionnalité affectée par cette objection. Ce droit de résiliation constitue le seul et unique recours du Responsable de Traitement si ce dernier s’oppose à tout nouveau Sous-traitant Ultérieur.

6.2. Garanties du Sous-traitant Ultérieur

Le Sous-traitant Ultérieur doit respecter les obligations du présent Accord pour le compte et selon les instructions du Responsable de Traitement. Il appartient au Sous-traitant de s’assurer que le Sous-traitant Ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et de toute autre législation applicable au Contrat.

Si le Sous-traitant Ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant demeure pleinement responsable envers le Responsable de Traitement de l’exécution par le Sous-traitant Ultérieur de ses obligations.

7. Information des personnes concernées

Il incombe au Responsable de Traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données. La responsabilité du Sous-traitant ne saurait être engagée à cet égard.

8. Exercice des droits des personnes concernées

Dans la mesure du possible, le Sous-traitant doit aider le Responsable de Traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données et droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées adressent des demandes d’exercice de leurs droits au Sous-traitant, ce dernier doit transmettre ces demandes dès réception par email à l’adresse fournie par le Client lors de la souscription aux services.

9. Notification des violations de Données Personnelles

Le Sous-traitant notifiera le Responsable de Traitement sans retard injustifié après avoir pris connaissance d’une violation de Données Personnelles et par email à l’adresse fournie par le Responsable de Traitement lors de la souscription aux Services.

Cette notification devra être accompagnée de toute la documentation utile pour permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

La notification devra contenir au moins :

  • La description de la nature de la violation de Données Personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de Données Personnelles concernés;
  • Le nom et les coordonnées du Délégué à la Protection des Données (DPO) ou de tout autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  • La description des conséquences probables de la violation de Données Personnelles;
  • La description des mesures prises ou envisagées par le Responsable de Traitement pour remédier à la violation de Données Personnelles, y compris, le cas échéant, les mesures pour atténuer toute conséquence négative éventuelle.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard injustifié.

Le Responsable de Traitement gère la communication avec les personnes concernées par la violation de Données Personnelles. Il est rappelé que le Sous-traitant n’a pas de visibilité sur la nature des données hébergées pour le compte du Responsable de Traitement, et n’est donc pas en mesure d’évaluer le niveau de risque pour les droits et libertés des personnes physiques en cas de violation de Données Personnelles.

10. Assistance du Sous-traitant pour aider le Responsible de Traitement à respecter ses obligations

Le Sous-traitant fournira au Responsable de Traitement la documentation pertinente afin de permettre à ce dernier de réaliser des analyses d’impact relatives à la protection des données (AIPD), uniquement en ce qui concerne les aspects dont le Sous-traitant est responsable, à savoir, pour le Sous-traitant, l’hébergement des données.

Le Sous-traitant aidera, dans la mesure du possible et du raisonnable, le Responsable de Traitement lors de la consultation préalable auprès de l’autorité de contrôle en fournissant la documentation requise.

Il est expressément entendu que toute intervention du Sous-traitant pour le compte du Responsable de Traitement dans le cadre du présent Accord, et notamment l’assistance à la réalisation d’analyses d’impact, sera facturée au Responsable de Traitement selon le tarif soumis à l’accord préalable du Responsable de Traitement si une telle intervention dépasse un (1) jour.

11. Mesures de sécurité

Le Sous-traitant met en œuvre le traitement avec des mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque associé au traitement, conformément aux dispositions de l’art. 32 du RGPD.

Ces mesures comprennent le chiffrement des données, un contrôle d’accès robuste, des audits de sécurité réguliers et toute autre mesure nécessaire pour garantir la confidentialité, l’intégrité et la disponibilité des données. Le Sous-traitant se réserve le droit de mettre à jour et d’améliorer ces mesures de sécurité en fonction des exigences réglementaires et des bonnes pratiques du secteur.

Pour évaluer le niveau de sécurité approprié, le Sous-traitant tient compte de l’état des connaissances, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les personnes concernées.

En particulier, le Sous-traitant dispose d’une procédure et de politiques de sécurité écrites qui répondent au moins aux exigences imposées par la Réglementation sur la Protection des Données et sont conformes aux pratiques établies du secteur. Pendant la durée du Contrat, le Sous-traitant fournira au Responsable de Traitement la documentation de sécurité à sa première demande.

12. Réversibilité des Données Personnelles

La réversibilité des données à la fin de la relation contractuelle entre le Sous-traitant et le Client est stipulée dans le Contrat.

13. Délégué à la Protection des Données

Les coordonnées du Délégué à la Protection des Données (DPO) du Sous-traitant sont les suivantes :

Solène Langumier – personaldata@partoo.fr

14. Registre des traitements

Le Sous-traitant déclare tenir un registre écrit de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de Traitement, comprenant :

  • Le nom et les coordonnées du Responsable de Traitement pour le compte duquel il agit, des éventuels Sous-traitants Ultérieurs et, le cas échéant, du délégué à la protection des données ;
  • Les catégories de traitements effectués pour le compte du Responsable de Traitement ;
  • Le cas échéant, les transferts de Données Personnelles vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l’existence de garanties appropriées.

15. Transferts des Données Personnelles hors Union Européenne

Le Sous-traitant peut transférer indirectement, par l’intermédiaire de ses Sous-traitants Ultérieurs mentionnés à l’article 6 des présentes, les Données Personnelles hors de l’Union Européenne. Dans un tel cas, le Sous-traitant s’engage à obtenir l’accord préalable écrit du Responsable de Traitement.

Tout transfert de Données Personnelles hors de l’Union Européenne sera effectué en stricte conformité avec le Chapitre V du RGPD, notamment en s’appuyant sur une décision d’adéquation ou en mettant en œuvre des garanties appropriées. Par conséquent, lorsqu’un tel transfert est effectué, le Sous-traitant s’engage à s’assurer qu’il est couvert par :

  • Des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne ou une autorité de contrôle conformément à l’article 46 du RGPD ; et/ou
  • Des Règles d’Entreprise Contraignantes (Binding Corporate Rules – BCR) approuvées par une autorité de contrôle compétente en vertu de l’article 47 du RGPD ; et/ou
  • Un code de conduite approuvé conformément à l’article 46 du RGPD ; et/ou
  • Un mécanisme de certification approuvé conformément à l’article 46 du RGPD ; et/ou
  • Une décision d’adéquation de la Commission européenne conformément à l’article 45 du RGPD.

En tout état de cause, le Sous-traitant informera le Responsable de Traitement dans un délai raisonnable de tout projet de transfert et fournira simultanément au Responsable de Traitement toutes les informations pertinentes permettant à ce dernier de respecter ses obligations en cas de transfert de Données Personnelles.

16. Analyse d’impact relative à la protection des données

Il incombe au Responsable de Traitement de déterminer si les opérations de traitement effectuées via les Services sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, conformément à l’article 35 du RGPD. Lorsqu’un tel risque est identifié, le Responsable de Traitement doit réaliser une Analyse d’Impact relative à la Protection des Données (ci-après dénommée « AIPD ») avant le traitement.

Le Sous-traitant fournira au Responsable de Traitement toute l’assistance raisonnable, sur demande, pour permettre la réalisation de l’AIPD, notamment en fournissant une documentation relative aux mesures de sécurité techniques et organisationnelles mises en œuvre, ainsi que toute autre information pertinente concernant les opérations de traitement effectuées pour le compte du Responsable de Traitement.

17. Audits

17.1. Cadre

Le Sous-traitant met à la disposition du Responsable de Traitement les informations nécessaires pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le Responsable de Traitement ou un autre auditeur mandaté par ce dernier, et contribuer à ces audits. En cas d’audit, les conditions suivantes doivent être réunies :

Les audits prévus au présent article ne peuvent être menés que dans les conditions suivantes :

  1. L’audit doit être demandé par lettre recommandée avec accusé de réception, au moins trente (30) jours calendaires avant la date souhaitée pour l’audit, et doit indiquer les motifs justifiant l’audit. Si l’audit peut être réalisé par la mise à disposition de documents, les Parties privilégieront un audit sur pièces ;
  2. Il ne peut y avoir qu’un (1) seul audit par an ;
  3. L’audit ne devra pas durer plus d’un (1) jour. Au-delà, le Sous-traitant pourra facturer le temps passé par ses équipes sur l’audit aux tarifs qui seront communiqués au Client au moment de la demande d’audit ou à tout moment sur demande du Client.

17.2. Finalités

L’audit ne doit pas perturber les activités du Sous-traitant au-delà de ce qui est strictement nécessaire ; par conséquent, il ne peut porter que sur le respect par le Sous-traitant des dispositions du présent Accord.

Si le Client décide de confier l’audit à un tiers, ce dernier doit (i) ne pas être un concurrent direct ou indirect du Sous-traitant ; (ii) être strictement tenu par une obligation de confidentialité professionnelle (accord de confidentialité) qui sera soumise par le Sous-traitant avant la réalisation de l’audit ; (iii) en tout état de cause, le Sous-traitant peut s’opposer au choix de l’auditeur, sous réserve de fournir une justification raisonnable ; et (iv) se conformer à l’ensemble des procédures internes du Sous-traitant. Le Client demeure en tout état de cause entièrement responsable de l’auditeur, sans pouvoir opposer une quelconque limitation de responsabilité au Sous-traitant en cas de manquement dudit auditeur.

17.3. Résultats

Il est entendu entre les Parties que les résultats de l’audit ne peuvent être rendus publics et resteront strictement confidentiels. Le Sous-traitant pourra présenter ses observations avant la version définitive du rapport d’audit et disposera de trente (30) jours pour ce faire, sauf si ce délai est jugé insuffisant, auquel cas il pourra demander trente (30) jours supplémentaires par notification par email.

18. Obligations du Responsable de Traitement envers le Sous-traitant

Le Responsable de Traitement s’engage à :

  1. Documenter par écrit toutes les instructions concernant le traitement des données par le Sous-traitant.
  2. S’assurer, avant et pendant toute la durée du traitement, du respect par le Sous-traitant des obligations fixées par la législation applicable.
  3. Superviser le traitement effectué par le Sous-traitant conformément au Contrat.

19. Portée

Le present Accord forme un document unique avec le Contrat.

À cet égard, toutes les dispositions du Contrat qui ne sont pas modifiées ou ne sont pas contradictoires avec les termes du présent Accord demeurent pleinement applicables entre les Parties. En particulier, la clause limitative de responsabilité prévue au Contrat (et notamment à l’article 10 des CG le cas échéant) est pleinement applicable en cas de violation du présent Accord. En cas de conflit entre les dispositions du Contrat et celles du présent Accord, le présent Accord prévaudra.

Si une disposition du présent Accord est jugée nulle et non avenue en vertu d’une règle juridique applicable ou d’une décision de justice définitive, elle sera réputée non écrite, sans affecter la validité du présent Accord ni altérer la validité de ses autres dispositions.