RGPD – Sous traitants ultérieurs

RGPD – Sous traitants ultérieurs

POLITIQUE RGPD A DESTINATION DES SOUS-TRAITANTS ULTERIEURS

1. Préambule

Le règlement général sur la protection des données à caractère personnel (RGPD) impose un cadre juridique précis entre le sous-traitant (nous) et son propre sous-traitant (vous), communément appelé par la Cnil le « sous-traitant ultérieur ». 

Il s’agit des cas particuliers où nous sommes amenés à traiter, héberger ou accéder aux données de nos clients (sous-traitance) et où nous vous confions la réalisation d’une partie de ces prestations. 

2. Objet 

La présente politique a pour objet de définir nos droits et obligations respectifs au regard des dispositions fixées par le RGPD et la règlementation française en matière de traitement de données à caractère personnel. 

La présente politique est considérée comme un document à valeur contractuelle mais elle ne modifie en aucun cas le contrat qui nous lie. En cas d’écart entre la présente politique et le ou les contrats conclus entre nous, cette dernière primera s’agissant de la seule question du traitement des données à caractère personnel. 

3. Nos obligations

Au titre du RGPD il nous appartient : 

  • de nous assurer que vous présentez les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD ; 
  • de donner le cas échéant la liste de nos sous-traitants à notre client et au besoin obtenir une autorisation de sa part ; 
  • de procéder le cas échéant à des audits, en ce compris des inspections, pour vérifier que vous appliquez correctement les mesures prises et que vous respectez vos engagements au titre de la présente politique ; 
  • à vous transmettre en tant que de besoin les instructions documentées que notre client nous a communiquées en application du RGPD pour la partie des prestations qui vous concerne.

 

4. Vos obligations 

Au titre du RGPD vous vous engagez : 

  • à  vous conformer au RGPD et mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données de notre client auxquelles vous aurez accès ; 
  • à sensibiliser votre personnel et lui faire signer un engagement de confidentialité ; 
  • à répondre à tout questionnaire d’audit et à accepter que nous procédions, sur demande de notre client ou de notre propre initiative, à une inspection pour vérifier la bonne application des présentes et plus généralement du RGPD ; 
  • respecter les instructions documentées de nos clients qui auront été portées à votre connaissance ; 
  • nous informer sans délais si une instruction du client n’est pas conforme avec le RGPD ;

 

5. Responsabilité

Au regard du RGPD nous sommes responsables vis-à-vis de notre client de la bonne exécution de la présente politique. 

Ceci étant précisé, toute violation de la présente politique, des instructions du client et d’une manière générale de la règlementation relative au droit des données à caractère personnel constituerait une faute grave qui engagerait votre propre responsabilité vis-à-vis de nous et vis-à-vis de notre client. 

6. Sous-traitance 

Il vous est fait interdiction formelle de sous-traiter tout ou partie des prestations dont nous vous avons confié la charge. En cas de violation de cette interdiction, vous serez seul responsable vis-à-vis de notre client et serez tenu de nous garantir contre tout recours et toute condamnation. 

Si de manière exceptionnelle vous étiez autorisé de manière expresse à procéder à une sous-traitance partielle, il est convenu que :

  • vous vous engager à faire signer les mêmes engagements que ceux figurant dans cette politique à votre sous-traitant ; 
  • vous vous portez garant de l’application du RGPD par ledit sous-traitant.

 

7. Violation de sécurité 

En cas de violation de sécurité ou de suspicion de violation de sécurité vous vous engagez à : 

  • prendre toutes les mesures nécessaires pour mettre un terme à cette violation ; 
  • nous informer sans délais de cette violation à compter du moment où vous en avez connaissance et nous donner toutes les informations nécessaires pour que nous puissions nous même procéder à une notification de ladite violation à notre client.

 

8. Flux transfrontières

Vous vous interdisez tout flux transfrontières (c’est-à-dire hors EU) de données à caractère personnel. 

9. Fin du contrat

À l’expiration du contrat qui nous lie et au plus tard le dernier jour du contrat, il vous appartient de nous restituer l’ensemble des données à caractère personnel du client et de nous adresser une attestation de destruction de toutes les copies existantes de ses données. 

10. Contrôle de la Cnil 

En cas de contrôle de la Cnil, et ce même si elle ne porte pas sur les données de notre client, vous vous engagez à nous en informer sans délai

11. Droit des personnes

Si une personne souhaite exercer un de ses droits auprès de vous (accès, copie, rectification, portabilité ou autre) vous êtes tenu de nous en aviser afin que nous traitions directement cette demande avec notre client

12. Révision

En cas d’évolution règlementaire ou de recommandations de la Cnil, nous nous réservons le droit de modifier la présente politique. Toute nouvelle politique vous est notifiée avant son entrée en vigueur. 

Contactez-nous

Un projet, besoin de conseils ? Nous vous rappelons dans l'heure.

Contactez-nous