Règlement général sur la protection des données – Politique fournisseurs

1. OBJET

La présente politique a pour objet de définir les conditions dans lesquelles le fournisseur ci-après désigné le « Sous-traitant », s’engage à effectuer en lieu et place de « EXPERTEAM » ci-après nommé « l’Entrepreneur », pour le compte du client ci-après dénommé le « Responsable de traitement », les opérations de traitement de données à caractère personnel définies ci-après.

 

Le Fournisseur peut également faire appel, avec accord préalable de l’Entrepreneur, à un Sous-traitant, ci-après désigné « le Sous-traitant ultérieur ».

 

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

 

2. DESCRIPTION DU TRAITEMENT FAISANT L’OBJET DE LA SOUS-TRAITANCE

 

Les caractéristiques du traitement de Données à Caractère Personnel (DCP) sont détaillées au sein de chaque Bon de commande (BDC). S’il n’est pas possible au moment de la conclusion du BDC de renseigner les caractéristiques car elles n’ont pas été fournies au Sous-traitant par le Responsable de Traitement, les Parties s’engagent à conclure un avenant au BDC afin de prévoir leur transmission future et certaine par le Responsable de traitement.

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les services définis dans le BDC.

La nature des opérations réalisées sur les données, la ou les finalité(s) du traitement, le caractère des données personnelles traitées, et l’identification des catégories de personnes concernées par le traitement des données personnelles sont également définis et encadrés dans le BDC.

 

3. OBLIGATIONS DU SOUS-TRAITANT

 

De manière générale, le Sous-traitant s’engage à mettre en œuvre l’ensemble des mesures nécessaires permettant au Responsable de traitement de respecter la réglementation applicable et notamment les principes de privacy by design et de privacy by default.


3.1 Respect des instructions du Responsable de traitement et de la réglementation

Le Sous-traitant s’engage à :

 

  • Traiter les DCP dans le cadre strict et nécessaire des Prestations et, d’une manière générale, à n’agir que sur la seule instruction écrite et documentée du Responsable de traitement ;
  • Informer immédiatement le Responsable de traitement si une des instructions constitue une violation de la réglementation applicable en matière de protection des DCP et suspendre l’exécution de ladite instruction jusqu’à confirmation ou modification de l’instruction par le Responsable de traitement ;
  • S’assurer que les personnes autorisées à accéder aux DCP ont connaissance des instructions du Responsable et s’engagent à ne les traiter que dans le strict respect de celles-ci ;
  • Veiller à ce que les personnes autorisées à accéder aux DCP pour la réalisation des Prestations reçoivent la formation nécessaire en matière de protection des DCP ;
  • Ne pas concéder, louer, céder ou autrement communiquer à toute personne, tout ou partie des DCP, même à titre gratuit, ainsi que, plus généralement, ne pas utiliser les DCP à d’autres fins que celles strictement prévues au Contrat, notamment, pour tout usage de prospection commerciale, marketing et/ou autre ;
  • Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des DCP dès la conception.
  • Sécurité, confidentialité, violation et destruction des DCP

 

Le Sous-traitant s’engage à :

 

  • Prendre toutes précautions utiles afin de préserver la confidentialité et la sécurité des DCP, et notamment, empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, et plus généralement, à mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les DCP contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés. Ces mesures doivent assurer, compte tenu de l’état de l’art, un niveau de sécurité approprié au regard des risques présentés par les traitements et la nature des données à protéger ;
  • Mettre en place des habilitations pour restreindre l’accès des personnes aux DCP et ne les communiquer qu’aux personnes ayant besoin d’en connaître, en veillant à ce que ces personnes soient soumises à une obligation contractuelle, écrite et individuelle, ou légale de confidentialité et de sécurité appropriée ;
  • Mettre à jour les mesures de sécurité compte tenu de l’évolution de la technique, sans qu’il ne puisse résulter une diminution du niveau de sécurité et/ou un impact négatif sur la fourniture des Prestations et informer le Responsable de traitement de toute modification substantielle des mesures de sécurité ;
  • Notifier au Responsable de traitement la connaissance dans les meilleurs délais, toute violation avérée ou suspectée de DCP, ou toute violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de DCP transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données notamment pour permettre au Responsable de traitement de se conformer à l’obligation de notification à la CNIL, prévue à l’article 33 du RGPD, de toute violation de DCP. La notification du Sous-traitant doit être envoyée à l’interlocuteur du Responsable de traitement désigné par téléphone et par courrier électronique, puis confirmée par lettre recommandée avec accusé de réception ;
  • Procéder à toutes investigations utiles sur les manquements aux règles de protection ci-dessus visées et/ou sur toutes menaces afin de remédier auxdits manquements et/ou menaces et éviter qu’ils se reproduisent à l’avenir ;
  • Remédier à ces manquements et/ou menaces dans un délai aussi rapide que possible et de minimiser l’impact de tels manquements et/ou menaces sur les personnes concernées ;
  • Informer le Responsable de traitement au moyen d’un rapport écrit décrivant la nature et la conséquence de la violation des DCP, les actions correctives mises en place ou celles proposées pour remédier auxdits manquements et/ou menaces, diminuer l’impact vis-à-vis des personnes concernées ainsi que les mesures adoptées afin que de tels manquements et/ou menaces ne se reproduisent plus. ;
  • Respecter les durées de conservation des DCP, telles que spécifiées par le Responsable de traitement ;
  • Détruire toutes les DCP ou les renvoyer au Responsable de traitement, au terme du contrat et détruire les copies existantes, ainsi que communiquer au Responsable de traitement la preuve de ces destructions, le cas échéant.
  • Assistance et audit

 

Le Sous-traitant déclare comprendre que tout manquement à la réglementation applicable aux DCP peut imposer des obligations au Responsable de traitement, notamment de notification aux personnes concernées ainsi qu’aux autorités de contrôle concernant les dits manquements.

Le Sous-traitant s’engage à coopérer avec le Responsable de traitement et à l’assister pour l’aider à remplir ses obligations.

Il garantit le Responsable de traitement des conséquences de toutes réclamations de la part des personnes concernées provenant d’un manquement à la réglementation applicable aux DCP qui leur serait imputable.

 

Ainsi, le Sous-traitant s’engage, sans coût additionnel, à :

 

  • Collaborer avec le Responsable de traitement afin de garantir le respect des obligations lui incombant conformément à la réglementation applicable en matière de protection des DCP. Notamment, au titre de son devoir de conseil et au terme d’une démarche proactive, apporte toute assistance au Responsable de traitement pour la réalisation des analyses d’impact relatives à la protection des DCP et pour la réalisation de la consultation préalable de l’autorité de contrôle, par exemple en fournissant à première demande toutes informations utiles ;
  • Mettre à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations stipulées dans le Contrat et lui incombant au regard de la réglementation applicable en matière de protection des DCP et permettre la réalisation d’audits relatifs au respect des dispositions de cette Annexe y compris des inspections par le Responsable de traitement ou tout autre auditeur mandaté et collaborer activement dans le cadre de ces audits.

 

4. DROIT D’INFORMATION DES PERSONNES CONCERNÉES

 

Il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

 

5. EXERCICE DES DROITS DES PERSONNES

 

Dans la mesure du possible, le Sous-traitant doit aider le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, ce dernier après leur réception, doit les adresser à l’Entrepreneur par courrier électronique à dpo@experteam.fr.

 

6. SOUS-TRAITANCE

 

Le Sous-traitant peut faire appel à un Sous-traitant ultérieur pour mener des activités de traitements spécifiques. Dans ce cas, il demande préalablement par écrit l’autorisation, de l’Entrepreneur de tout changement envisagé concernant l’ajout ou le remplacement de d’autres Sous-traitants ultérieurs.

Cette demande d’autorisation doit indiquer clairement les caractéristiques de la Sous-traitance notamment les activités de traitement, l’identité et les coordonnées du Sous-traitant ultérieur, la durée du contrat de sous-traitance. L’Entrepreneur dispose d’un délai maximum d’une semaine calendaire à compter de la date de réception de la demande pour autoriser ou refuser cette sous-traitance.

 

Le Sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Sous-traitant.

Il appartient au Sous-traitant de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données

Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant demeure pleinement responsable devant l’Entrepreneur de l’exécution par le Sous-traitant ultérieur de ses obligations.

 

7. TRANSFERTS DES DCP HORS UE

 

Le Sous-traitant s’engage, que ce soit à raison des Prestations qu’il réalise ou à raison des Prestations réalisées dans le cadre d’un recours à la sous-traitance autorisée selon les conditions du Contrat, à ne pas transférer les DCP traitées dans le cadre du Contrat, hors de l’Union Européenne ou des pays dits de « protection adéquate », sans l’autorisation préalable et écrite du Responsable de traitement afin de pouvoir procéder, préalablement au transfert à :

 

  • La mise en place de garanties appropriées telles que prévues par la réglementation applicable en matière de protection des DCP ;
  • La réalisation des formalités et à l’obtention le cas échéant de l’autorisation préalable de transférer les DCP sur la base d’un engagement de l’importateur des DCP recueilli dans le cadre d’un mécanisme alternatif de protection des DCP accepté par la CNIL ;
  • L’information des personnes concernées.

 

Les engagements souscrits par le Sous-traitant au titre du présent article, ne peuvent être soumis à aucune limitation de responsabilité.

 

8. SORT DES DONNÉES

 

Au terme de la prestation de services relatifs au traitement de ces données, sur instruction du Responsable de traitement, le Sous-traitant s’engage à :

 

  • Détruire toutes les données à caractère personnel, ou ;
  • À renvoyer toutes les données à caractère personnel au responsable de traitement, ou ;
  • A renvoyer les données à caractère personnel au sous-traitant désigné par le responsable de traitement.

 

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du Sous-traitant. Une fois détruites, le Sous-traitant doit justifier par écrit de la destruction.

 

9. DÉLÉGUÉ À LA PROTECTION DES DONNÉES

 

Le Sous-traitant, s’il en a désigné un, et conformément à l’article 37 du Règlement Général sur la Protection des Données doit communiquer à l’Entrepreneur dans le bon de commande, le nom et les coordonnées de son délégué à la protection des données ou de son collaborateur RGPD.

L’Entrepreneur communiquera par la suite ces informations au Responsable de traitement.

 

10. REGISTRE DES CATÉGORIES D’ACTIVITÉS DE TRAITEMENT

 

Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement.

 

11. OBLIGATION DU RESPONSABLE DE TRAITEMENT VIS-À-VIS DU SOUS-TRAITANT

 

Le Responsable de traitement s’engage à :

 

  • Fournir au Prestataire les données visées au 2 des présentes clauses ;
  • Documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant ;
  • Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant ;
  • Superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant.