Politique RGPD – Sous traitants

Politique RGPD – Sous traitants

POLITIQUE RGPD A DESTINATION DU SOUS-TRAITANT

1. Préambule

Notre « Politique RGPD » s’inscrit dans le cadre du respect de l’article 28 du Règlement général sur la protection des données à caractère personnel qui impose que soient définies un certain nombre de règles entre le responsable de traitement (nous) et le sous-traitant (vous). 

2. Objet 

La présente politique vise à définir nos droits et obligations respectifs au regard de la protection des données à caractère personnel.

3. Portée 

La présente politique s’applique lorsque nous agissons comme « responsable de traitement » au sens du RGPD et que nous recourons à des prestataires de services agissant en qualité de « sous-traitants ». 

La présente politique est considérée comme un document à valeur contractuelle qui s’impose aux parties et ne modifie pas pour autant les termes des contrats conclus. 

En cas d’écart entre la présente politique et le ou les contrats conclus entre nous ou nos conditions générales/particulières, cette dernière primera s’agissant de la seule question du traitement des données à caractère personnel. 

4. Identification du traitement 

Il nous appartient d’identifier avec précision les traitements auxquels nous vous donnons accès. Pour plus de précisions sur la nature des opérations réalisées, les finalités du traitement, les données et personnes concernées, il est fait renvoi à notre contrat de prestations de services ou nos conditions générales/particulières.

5. Déclaration du sous-traitant

Vous déclarez présenter toutes les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée. 

6. Respect de nos instructions

Vous vous engagez à ne traiter nos données que dans le respect des instructions écrites et documentées que nous vous communiquerons au fur et à mesure de l’exécution de la prestation.  

Si l’une de nos instructions vous paraît constituer une violation du RGPD ou d’autres dispositions relatives à la protection des données à caractère personnel, vous vous engagez à nous en informer immédiatement et dans un délai raisonnable. 

7. Nos Obligations 

Nous nous engageons à vous fournir toutes les informations et instructions écrites documentées nécessaires à la bonne exécution de votre prestation et à vous indiquer toute évolution éventuelle des traitements. 

En contrepartie, nous disposons du droit de solliciter votre assistance sur l’ensemble des paramètres d’application du RGPD (droit des personnes concernées, mesures de sécurité, violation de données, coopération avec la Cnil) et du droit de vous demander communication de tout élément ou pièce permettant de garantir que vous respectez le RGPD et la présente politique, et de réaliser des audits et/ou des inspections pour nous en assurer.

8. Confidentialité renforcée

Vous vous engagez à assujettir votre personnel susceptible d’accéder à nos données à caractère personnel à un engagement de confidentialité et à les former sur les mesures de sécurité à mettre en œuvre. 

Vous devez être en mesure de nous communiquer la liste des personnes susceptibles d’accéder à nos données à première demande. 

9. Obligation de sécurité 

Vous êtes tenu de mettre en œuvre les mesures techniques et organisationnelles appropriées de nature à lutter contre la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou contre l’accès non autorisé à de telles données, de manière accidentelle ou illicite.  

Vous vous engagez à nous présenter un descriptif des mesures techniques et organisationnelles que vous mettez en œuvre. Vous vous engagez à tenir ce document à jour et à tenir compte des évolutions technologiques. Toute modification de ce descriptif devra être portée à notre connaissance. 

10. Violation de sécurité 

Si vous identifiez au sens de nos services une violation de sécurité, vous vous engagez à nous en aviser sans délais afin que nous puissions respecter notre obligation de notification de celle-ci à la Cnil. Vous vous engagez à nous communiquer toutes les informations nécessaires pour satisfaire à cette obligation de notification. 

En cas de violation de données à caractère personnel sur nos propres équipements, nous vous en aviserons sans délai si cette violation est susceptible d’impacter la fourniture de la prestation prévue dans le contrat de prestation de services. 

11. Sous-traitance ultérieure

Vous n’êtes autorisé à recruter d’autres sous-traitants dans le cadre du traitement mis en œuvre pour notre compte qu’avec notre accord écrit et préalable. 

Dans tous les cas, vous vous engagez à recruter un sous-traitant présentant des garanties suffisantes quant la mise en œuvre du RGPD et à signer avec ce denier un contrat lui imposant les mêmes obligations que celles fixées aux présentes. 

12. Flux transfrontières

Aucun transfert de données à caractère personnel ne peut intervenir hors de l’Union européenne sans notre accord préalable, exprès et spécial. 

En cas d’accord de notre part, vous vous engagez à respecter l’ensemble des obligations en matière de transfert de données vers un pays tiers à l’Union européenne (acte juridique contraignant, clauses contractuelles types ou BCR). 

13. Fin du contrat

À l’expiration du contrat et au plus tard le dernier jour du contrat, nous vous indiquerons si vous devez supprimer ou nous restituer les données à caractère personnel. Une fois les données supprimées ou restituées, vous vous engagez à n’en garder aucune copie et ne serez donc pas en mesure de nous adresser une nouvelle copie des données.

14. Contrôle de la CNIL

Nous nous engageons à nous informer mutuellement d’un éventuel contrôle de la CNIL et prendrons, au besoin, les mesures nécessaires pour répondre aux questions posées par l’autorité de contrôle.

15. Audit

Nous nous réservons le droit d’auditer votre conformité aux obligations définies aux présentes une fois par an. 

Sauf en cas de violation de sécurité avérée, cet audit est réalisé par la voie d’un questionnaire de conformité que nous vous adresserons à la date d’anniversaire de notre contrat. 

En cas de violation de données, cet audit peut être réalisé sous la forme d’une inspection sur place dont les conditions seront définies d’un commun accord.

16. Registre des traitements 

En fonction des seuils définis par le RGPD, chaque partie est tenue pour ce qui la concerne de tenir un registre des opérations de traitement. Chaque partie s’engage à communiquer à l’autre, à première demande, toutes les informations nécessaires à la tenue dudit registre.

17. Responsabilité

Conformément à l’article 82 du RGPD, vous êtes tenu pour responsable du dommage causé par le traitement dès lors que :

  • Vous n’avez pas respecté les obligations prévues dans le RGPD qui vous incombent spécifiquement en tant que sous-traitant ou ;
  • Vous avez agi en-dehors de nos instructions écrites et documentées ou ;
  • Vous avez agi contrairement à nos instructions écrites et documentées.

Dans tous les cas, la réparation du préjudice et le plafond de réparation sont ceux définis dans le contrat de prestation ou les conditions générales ou particulières. 

17. Révision

En cas d’évolution règlementaire ou de recommandations de la CNIL, nous nous réservons le droit de modifier la présente politique. Toute nouvelle politique vous est notifiée avant son entrée en vigueur.

Contactez-nous

Un projet, besoin de conseils ? Nous vous rappelons dans l'heure.

Contactez-nous