ANNEXE – ACCORD DE SOUS-TRAITANCE DE DONNEES A CARACTERE PERSONNEL
La Société sera amenée à traiter des données personnelles au titre desquelles le Client est responsable de traitement et agira en conséquence sur la base des seules instructions du Client, conformément au rôle de sous-traitant de la Société en vertu de la réglementation applicable en matière de protection des données à caractère personnelle.
Pour les besoins du présent contrat,les termes« traitement »,«Responsabledetraitement »,«sous-traitant»,« personnes concernées », et « données à caractère personnel » ont le sens donné par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après, le « RGPD »).
1. Description du traitement faisant l’objet de la sous-traitance (en fonction des prestations commandées par le Client)
La Société est autorisée à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) : Prestations de Community Management – Hébergement
Nature des traitements : Accès et échanges par message à travers les comptes des réseaux sociaux du Client gérés par la Société. Collecte et enregistrement pour les données transmises par le Client à la Société (informations sur commandes et contrats clients) – Hébergement de données
Types de donnée à caractère personnel traitées : Données d’identification, données liés au contrat client ou commande concernée, échanges et messages – Toutes les données du site crée pour le Client dans le cadre de l’hébergement
Catégories de personnes concernées : Toute personne ayant vocation à interagir avec la Société dans le cadre des prestations de Community management ( dont notamment prospects et clients du Client) – Toutes les données personnelles traitées par le site du Client dans le cadre des prestations d’hébergement
2. Obligations générales de la Société en sa qualité de sous-traitant au titre du RGPD vis-à-vis du Client
En sa qualité de sous-traitant, la Société s’engage à mettre en œuvre l’ensemble des mesures nécessaires permettant au Client de respecter le RGPD et la réglementation applicable en matière de protections des données à caractère personnel.
Ces données personnelles pourront être accessibles et consultées par la Société uniquement pour la durée du Contrat dans le cadre de ses prestations.
A cet égard La Société s’engage à :
– traiter les données à caractère personnel dans le cadre strict et nécessaire des services prévus au titre du Contrat et, d’une manière générale, à n’agir que sur la seule instruction écrite et documentée du Client ;
– informer immédiatement le Client si une de ses instructions constitue une violation de la réglementation applicable en matière de protection des données à caractère personnel et suspendre l’exécution de ladite instruction jusqu’à confirmation ou modification de l’instruction par le Client ;
– s’assurer que les personnes autorisées à accéder aux données à caractère personnel ont connaissance des instructions du Client et s’engagent à ne les traiter que dans le strict respect de celles-ci ;
– veiller à ce que les personnes autorisées à accéder aux données à caractère personnel reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
– ne pas concéder, louer, céder ou autrement communiquer à toute personne, tout ou partie des données à caractère personnel, même à titre gratuit, ainsi que, plus généralement, ne pas utiliser les données à caractère personnel à d’autres fins que celles strictement prévues au Contrat ;
le cas échéant, aider le Client à la réalisation d’analyses d’impact relatives à la protection des données à caractère personnel ;
– le cas échéant, aider le Client à la réalisation de consultation préalable de l’autorité de contrôle
3. Sous-traitance ultérieure
La Société peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, la Société informera préalablement et par écrit le Client de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le Client disposé d’un délai maximum d’un (1) mois à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu.
La Société s’assure que tout sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. La Société demeure en tout état pleinement responsable devant le Client de l’exécution par tout autre sous-traitant de ses obligations.
Le Client autorise au titre du présent accord la Société à héberger les données du Client traitées dans le cadre des prestations d’hébergement à un sous-traitant ultérieur localisé aux Etats-Unis. La Société a conclu avec cet hébergeur des clauses contractuelles types approuvées par la Commission Européenne afin d’encadrer ce transfert de données vers les Etats-Unis.
4. Droit d’information et exercice des droits des personnes concernées
Le Client garantit à la Société qu’il a respecté l’ensemble des obligations nécessaires à la collecte et au traitement des données personnelles recueillies, lui incombant notamment aux termes du RGPD et qu’il a informé les personnes concernées de l’usage qui est fait desdites données personnelles.
Dans la mesure du possible, la Société aidera le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage), si la réponse à ces demandes implique la collaboration de la Société.
5. Notification des violations de données à caractère personnel
La Société notifie au Client toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par tout moyen de contact approprié, notamment par e-mail ou téléphone. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
6. Mesures de sécurité prises au titre du traitement
Pendant la durée du Contrat, les parties devront prendre toutes les mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel contre toute destruction accidentelle ou illicite, perte accidentelle, détérioration, diffusion ou accès non autorisés, notamment pendant le processus de transmission de données sur un réseau, et contre tout traitement illégal.
La Société met par ailleurs en place les mesures spécifiques suivantes pour assurer la sécurité des données à caractère personnel confiées par le Client :
– Conservation et traitement des mots de passe uniquement par les personnes autorisées,
– Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes utilisés,
– Des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
7. Assistance et Audit
La Société met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le Client ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
Il est toutefois précisé que ces audits seront réalisés aux frais du Client et strictement limités à l’audit des mesures prises en matière de protection des données à caractère personnel, dans la limite d’un audit par an notifié à l’avance à La Société.
8. Sort des données à caractère personnel
Au terme du Contrat, la Société s’engage, selon le choix du Client devant être notifié pendant un délai maximum de deux (2) mois à compter de la date de notification de la résiliation du Contrat, à détruire les données à caractère personnel ou à les restituer au Client dans un format et selon des modalités de restitution à convenir par les parties.
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information de la Société. Une fois détruites, La Société justifiera par écrit de la destruction.
Cette faculté n’existera toutefois qu’au titre des données transférées à la Société par le Client (notamment les données relatives aux contrats clients) mais non aux données simplement consultées par la Société sur des sites tiers, notamment sur les comptes des réseaux sociaux appartenant au Client.
9. Obligations du Client vis-à-vis de la Société
Le Client s’engage à :
– documenter par écrit toute instruction concernant le traitement des données par la Société,
– veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD, notamment vis-à-vis des personnes concernées par les traitements ;
– superviser le traitement, y compris réaliser les audits et les inspections auprès de la société
DADDYWEB SAS capital de 20 000 € 45 rue de Villeneuve 94573 Rungis Tel N° 09 80 80 90 36 RC N°853 034 270 N° de TVA FR31853034270