L’Accord de protection des données (ci-après “APD”) vise à régir l’utilisation des données à caractère personnel du Client, qui agit en tant que responsable du traitement (ci-après le “Client”), par anaba, qui agit en tant que sous-traitant (ci-après le “Sous-traitant”) dans le cadre du contrat (ci-après le “Contrat”).
L'ADP est une partie intégrante du Contrat signé entre le Client et le Sous-traitant. En cas de contradiction entre le Contrat et l'ADP, les obligations prévues dans l'ADP prévalent en ce qui concerne les règles applicables en matière de protection des données.
Tous les termes relatifs à la protection des données utilisés dans l'ADP (ex : responsable du traitement, sous-traitant, etc.) sont définis à l'article 4 du Règlement général pour la protection des données ("RGPD").
Le Sous-traitant déclare respecter l’intégralité des règles applicables en matière de protection des données que comprend le RGPD et la loi Informatique et Libertés.
Le Sous-traitant déclare présenter toutes les garanties suffisantes pour répondre aux exigences des règles applicables en matière de protection des données et, plus particulièrement, pour garantir la confidentialité et la protection des données du Client.
Le Sous-traitant déclare que l’intégralité de ses collaborateurs amenés à traiter les données à caractère personnel du Client sont engagés par une clause de confidentialité ou par tout autre acte juridique (ex : règles de bonne conduite, charte des systèmes d'information, etc.) permettant de garantir la confidentialité des données à caractère personnel du Client.
Le Sous-traitant déclare régulièrement former et sensibiliser ses collaborateurs sur les règles applicables en matière de protection des données.
Le Sous-traitant s’engage à n’utiliser les données à caractère personnel du Client que sur instructions documentées de ce dernier.
Le Client s’engage à informer le Sous-traitant de toute modification des instructions qui pourraient être menées quant à l’utilisation de ses données à caractère personnel.
Le Sous-traitant doit notifier au Client, dans les meilleurs délais, si les instructions documentées de ce dernier constituent une violation des règles applicables en matière de protection des données.
Le Sous-traitant fournit son service en l'état, dans le respect de la i) conformité du service dès la conception et ii) de la conformité du service par défaut.
Le Sous-traitant fournit un service accompagné de toutes les fonctionnalités permettant au Client de respecter ses obligations en tant que responsable du traitement.
En conséquence, le Sous-traitant n’est jamais responsable de l’utilisation non-conforme aux règles applicables en matière de protection des données du service par le Client.
Le Sous-traitant s’engage à garantir la sécurité des données à caractère personnel du Client et à mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires pour prévenir tout risque de violation de données.
Le Sous-traitant s’engage à notifier au Client, dans les meilleurs délais et, sous 72 heures ouvrés, après en avoir pris connaissance, toute violation de données qui serait susceptible de concerner les données à caractère personnel du Client.
Le Sous-traitant s'engage à fournir au Client, conformément aux dispositions de l'article 28 du RGPD, toutes les informations nécessaires au traitement de la violation de données par le Client.
En cas de violation de données, le Sous-traitant s’engage à prendre toutes les mesures nécessaires pour remédier et diminuer l’impact de la violation sur les données à caractère personnel du Client.
Sauf accord exprès, préalable et écrit du Client, le Sous-traitant n’est pas autorisé à prendre en charge les notifications de violation de données auprès de l'autorité de contrôle française, la CNIL. De même, le Sous-traitant, n'est pas, par principe, autoriser à informer pour le compte du Client les personnes concernées par les traitements réalisés dans le cadre du Contrat.
Le Sous-traitant communique au Client, sur demande écrite, toutes les informations nécessaires et requises sur les mesures de sécurité techniques et organisationnelles à mettre en œuvre dans le cadre du Contrat pour garantir la sécurité de ses données à caractère personnel.
Le Sous-traitant communique au Client, sur demande écrite, toutes les informations nécessaires et requises pour assurer la réalisation d’une analyse d’impact (“AIPD”) en lien direct avec le service fourni.
Le Sous-traitant n’est en revanche pas tenu d’assurer ou d’auditer la sécurité du Client ou encore de réaliser des analyses d’impact (“IAPD”) à la place et pour le compte du Client. Toute demande complémentaire à la communication d’informations peut faire l’objet d’un refus et, éventuellement, d’une prestation complémentaire tarifée.
Le Sous-traitant communique au Client, sur demande écrite, toutes les informations nécessaires et requises visant à ce que le Client puisse s’acquitter de son obligation de donner suite aux demandes des personnes concernées.
Le Sous-traitant exécute, sur demande écrite du Client, les actions techniques à entreprendre pour que le Client puisse s’acquitter de son obligation de donner suite aux demandes des personnes concernées.
Le Sous-traitant n’est en revanche pas tenu de gérer les demandes de droits des personnes à la place et pour le compte du Client. Toute demande complémentaire visant à assurer une telle gestion peut faire l’objet d’un refus et, éventuellement, d’une prestation complémentaire tarifée.
De manière générale, le Client accepte que le Sous-traitant recrute des Sous-traitants ultérieurs dans le cadre de l’exécution du Contrat à condition d’informer le Client de tout changement concernant ces Sous-traitants ultérieurs intervenant par durant l'exécution du Contrat.
Le Client peut émettre des objections par lettre recommandée avec accusé de réception i) si le Sous-traitant ultérieur est un de ses concurrents, ii) si le client et le Sous-traitant ultérieur sont dans une situation de précontentieux ou de contentieux, et iii) si le Sous-traitant ultérieur a fait l’objet d’une condamnation par une autorité de contrôle en matière de protection des données dans l’année de son recrutement par le Sous-traitant. Chacune de ses situations doit être démontrée.
Dans l'hypothèse où l'objection serait recevable, le Sous-traitant dispose d'un délai de 6 mois à compter de la réception de l'objection pour modifier le Sous-traitant ultérieur ou pour garantir le respect du RGPD par ce Sous-traitant ultérieur.
À défaut, le Client dispose de la possibilité de résilier le Contrat sous réserve d’un préavis de six (6) mois, sans que le Client puisse demander une indemnité de quelle que nature que ce soit.
Dans tous les cas, le Sous-traitant s’engage à ne recruter que des Sous-traitants ultérieurs qui présentent les garanties nécessaires et suffisantes pour assurer la sécurité et la confidentialité des données à caractère du Client.
A ce titre, le Sous-traitant s'engage i) à régulièrement contrôler ses Sous-traitants ultérieurs et ii) à ce que le contrat conclu avec le Sous-traitant ultérieur utilisé dans le cadre du service contienne des obligations similaires à celles prévues dans l'APD.
En tout état de cause, le Sous-traitant demeure responsable des actes du Sous-traitant ultérieur dans le cadre du Contrat.
Le Client informe le Sous-traitant, par écrit et dans les plus brefs délais, de son choix (option 1) de lui restituer les données à caractère personnel puis de les supprimer ainsi que toutes les copies existantes ou, (option 2) de supprimer directement les données à caractère personnel ainsi que toutes les copies existantes, ou (option 3) de transférer les données à caractère personnel vers un nouveau prestataire puis de les supprimer ainsi que toutes les copies existantes. Sauf disposition contraire dans le Contrat, l’option 3 doit faire l’objet d’un devis de la part du Sous-traitant.
À défaut d’information par le Client de son choix, le Sous-traitant se réserve la possibilité de supprimer directement les données ainsi que toutes les copies (option 2).
La suppression des données est irréversible. Le Client est donc invité à récupérer ses données avant l'arrêt du service. En cas de suppression des données du Client par le Sous-traitant, le Client demeure le seul responsable de la disparition des données et de toutes conséquences pouvant intervenir.
Le Sous-traitant atteste au Client, sur demande écrite, de la suppression effective des données à caractère personnel et de toutes les copies existantes.
Le Client dispose du droit de réaliser un audit sous forme de questionnaire écrit une fois par an pour vérifier le respect du présent Accord. Le questionnaire a la force d’un engagement sur l’honneur qui engage le Sous-traitant.
Le questionnaire peut être communiqué sous n’importe quelle forme au Sous-traitant qui s’engage à y répondre dans un délai maximum de deux mois à compter de sa réception.
Le Client dispose également du droit de réaliser un audit sur site, à ses frais, une fois par an uniquement en cas de violation de données ou de manquement aux règles applicables en matière de protection des données et au présent Accord, notamment établi par le questionnaire écrit.
Un audit sur site peut être mené soit par le Client soit par un tiers indépendant désigné par le Client et doit être notifié par écrit au Sous-traitant au minimum trente (30) jours avant la réalisation de l’audit.
Le Sous-traitant dispose du droit de refuser le choix du tiers indépendant si ce dernier est i) un concurrent ou ii) en précontentieux ou contentieux avec lui. Dans ce cas, le Client s’engage à choisir un nouveau tiers indépendant pour réaliser l’audit.
Le Sous-traitant peut refuser l’accès à certaines zones pour des raisons de confidentialité ou de sécurité. Dans ce cas, le Sous-traitant effectue l’audit dans ces zones à ses frais et communique les résultats au Client.
En cas d’écart constaté dans le cadre de l’audit, le Sous-traitant s’engage à mettre en œuvre, sans délai, les mesures nécessaires pour être en conformité avec le présent Accord.
Le Sous-traitant s’engage à faire son nécessaire pour ne pas transférer de données à caractère personnel du Client en dehors de l’Union européenne ou ne pas recruter de Sous-traitant ultérieur situé en dehors de l’Union européenne.
Néanmoins, dans le cas où de tels transferts s’avéreraient nécessaires dans le cadre du Contrat, le Sous-traitant s'engage à mettre en oeuvre tous les mécanismes requis pour encadrer ces transferts comme, en particulier, conclure des règles d’entreprise contraignantes (“BCR”) ou des clauses types de protection des données ("CCT") adoptées par la Commission européenne.
Lorsque cela concerne les traitements mis en œuvre dans le cadre du Contrat, le Sous-traitant s’engage à fournir, sur demande, l’intégralité des informations nécessaires au Client pour qu’il puisse coopérer avec l’autorité de contrôle compétente.
Le Client et le Sous-traitant désignent chacun un interlocuteur qui est en charge du présent ADP et qui est le destinataire des différentes notifications et communications devant intervenir dans le cadre de l’ADP.
Le Sous-traitant informe le Client qu'il a nommé la société Dipeeo comme Délégué à la protection des données qui peut être contactée aux coordonnées suivantes :
Le Client se réserve la possibilité de modifier le présent Accord en cas d’évolution des règles applicables en matière de protection des données qui auraient pour effet de modifier l’une de ses dispositions.
Nonobstant toute disposition contraire prévue dans le Contrat, le présent Accord est soumis au droit français. Tout litige relatif à l’exécution du présent Accord est de la compétence exclusive des tribunaux du ressort de la Cour d’appel du lieu de domiciliation du Sous-traitant.
Publié le 25/11/2022
Certifiée conforme par Dipeeo ®