Politique de confidentialité

Contrat de traitement des données Ce contrat de traitement des données (« Contrat ») fait partie du Contrat de services (« Contrat principal ») entre

(la « Société ») et

(le « responsable du traitement des données »)

(ensemble, les « Parties »)

ALORS QUE

(A) La Société agit en tant que responsable du traitement des données.

(B) La Société souhaite sous-traiter certains Services, qui impliquent le traitement de données personnelles, au Sous-traitant.

(C) Les parties cherchent à mettre en œuvre un accord de traitement des données conforme aux exigences du cadre juridique actuel en matière de traitement des données et au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

(D) Les parties souhaitent définir leurs droits et obligations.

IL EST CONVENU DE CE QUI SUIT :

1. Définitions et interprétation

1.1 Sauf définition contraire dans les présentes, les termes et expressions en majuscules utilisés dans le présent Contrat ont la signification suivante :

1.1.1 « Contrat » désigne le présent Contrat de traitement des données et toutes les annexes ;

1.1.2 Les « données personnelles de la société » désignent toutes les données personnelles traitées par un sous-traitant pour le compte de la société conformément ou en relation avec le contrat principal ;

1.1.3 « Sous-traitant sous contrat » désigne un sous-traitant

; 1.1.4 « Lois sur la protection des données » désigne les lois de l'UE sur la protection des données et, dans la mesure applicable, les lois sur la protection des données ou la confidentialité de tout autre pays ;

1.1.5 « EEE » désigne l'Espace économique européen ;

1.1.6 Les « lois de l'UE sur la protection des données » désignent la directive européenne 95/46/CE, telle que transposée dans la législation nationale de chaque État membre et telle que modifiée, remplacée ou remplacée de temps à autre, y compris par le RGPD et les lois mettant en œuvre ou complétant le RGPD ;

1.1.7 « RGPD » désigne le Règlement général de l'UE sur la protection des données 2016/679 ; 1.1.8 « Transfert de données » signifie :

1.1.8.1 un transfert de données personnelles de la société de la société à un sous-traitant sous contrat ; ou

1.1.8.2 un transfert ultérieur de données personnelles de la société d'un sous-traitant sous contrat à un sous-traitant, ou entre deux établissements d'un sous-traitant, dans chaque cas, où un tel transfert serait interdit par les lois sur la protection des données (ou par les termes des accords de transfert de données mis en place pour répondre aux restrictions relatives au transfert de données prévues par les lois sur la protection des données) ;

1.1.9 Les « Services » désignent les services fournis par la Société.

1.1.10 Le terme « Sous-traitant » désigne toute personne désignée par ou au nom du Sous-traitant pour traiter les données personnelles au nom de la Société dans le cadre du Contrat.

1.2 Les termes « Commission », « Responsable du traitement », « Personne concernée », « État membre », « Données personnelles », « Violation de données personnelles », « Traitement » et « Autorité de surveillance » ont la même signification que dans le RGPD, et leurs termes apparentés doivent être interprétés en conséquence.

2. Traitement des données personnelles de l'entreprise2.1 Le sous-traitant doit :

2.1.1 respecter toutes les lois applicables en matière de protection des données lors du traitement des données personnelles de l'entreprise ; et

2.1.2 ne pas traiter les données personnelles de la société autrement que conformément aux instructions documentées de la société

.2.2 La Société charge le Sous-traitant de traiter les données personnelles de la Société.3. Le sous-traitant doit prendre des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou contractant de tout sous-traitant sous contrat susceptible d'avoir accès aux données personnelles de l'entreprise, en veillant dans chaque cas à ce que cet accès soit strictement limité aux personnes qui ont besoin de connaître/d'accéder aux données personnelles de l'entreprise concernées, comme cela est strictement nécessaire aux fins du contrat principal, et pour se conformer aux lois applicables dans le contexte des obligations de cette personne envers le sous-traitant sous contrat, en veillant à ce que toutes ces personnes soient sous réserve de des engagements de confidentialité ou des obligations professionnelles ou légales de confidentialité.

4. Sécurité

4.1 Compte tenu de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque plus ou moins probable et plus ou moins grave pour les droits et libertés des personnes physiques, le Sous-traitant doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'article 32 (1) du RGPD.

4.2 Lors de l'évaluation du niveau de sécurité approprié, le Sous-traitant doit tenir compte en particulier des risques présentés par le Traitement, notamment en cas de violation de données personnelles.

5. Sous-traitement

5.1 Le sous-traitant ne doit pas nommer (ni divulguer de données personnelles de la société à) aucun sous-traitant à moins que la société ne l'exige ou ne l'autorise.

6. Droits des personnes concernées

6.1 Compte tenu de la nature du Traitement, le Sous-traitant doit aider la Société en mettant en œuvre des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir les obligations de la Société, telles qu'elles sont raisonnablement comprises par la Société, de répondre aux demandes d'exercice des droits des personnes concernées en vertu des lois sur la protection des données.

6.2 Le processeur doit :

6.2.1 informer rapidement la Société si elle reçoit une demande d'une personne concernée en vertu de toute loi sur la protection des données concernant les données personnelles de l'entreprise ; et

6.2.2 s'assurer qu'il ne répond pas à cette demande, sauf sur instruction documentée de la Société ou conformément aux lois applicables auxquelles le Sous-traitant est soumis, auquel cas le Sous-traitant doit, dans la mesure permise par les lois applicables, informer la Société de cette obligation légale avant que le Sous-traitant sous contrat ne réponde à la demande.

7. Violation de données personnelles

7.1 Le Sous-traitant doit informer la Société sans retard injustifié dès qu'il prend connaissance d'une violation de données personnelles affectant les données personnelles de la Société, en fournissant à la Société suffisamment d'informations pour permettre à la Société de respecter ses obligations de signaler ou d'informer les personnes concernées de la violation de données personnelles en vertu des lois sur la protection des données.

7.2 Le Sous-traitant doit coopérer avec la Société et prendre les mesures commerciales raisonnables demandées par la Société pour aider à l'enquête, à l'atténuation et à la correction de chacune de ces violations de données personnelles.

8. Le responsable de l'analyse d'impact et des consultations préalables sur la protection des données fournira une assistance raisonnable à la Société dans le cadre de toute analyse d'impact sur la protection des données et de consultations préalables avec les autorités de supervision ou d'autres autorités compétentes en matière de confidentialité des données, que la Société considère raisonnablement comme requises par l'article 35 ou 36 du RGPD ou des dispositions équivalentes de toute autre loi sur la protection des données, dans chaque cas uniquement en ce qui concerne le traitement des données personnelles de l'entreprise par, et en tenant compte de la nature du traitement et des informations disponibles Les sous-traitants sous contrat.

9. Suppression ou renvoi des données personnelles de l'entreprise

9.1 Sous réserve de cette section 9, le Sous-traitant doit rapidement et en tout état de cause dans les 10 jours ouvrables suivant la date de cessation de tout Service impliquant le traitement des données personnelles de la société (la « Date de cessation ») supprimer et faire supprimer toutes les copies de ces données personnelles de la société.

10. Droits d'audit

10.1 Sous réserve de la présente section 10, le Sous-traitant doit mettre à la disposition de la Société sur demande toutes les informations nécessaires pour démontrer le respect du présent Contrat, et doit autoriser et contribuer à des audits, y compris des inspections, par la Société ou un auditeur mandaté par la Société en relation avec le traitement des données personnelles de la Société par les sous-traitants sous contrat.

10.2 Les droits d'information et d'audit de la Société ne découlent de la section 10.1 que dans la mesure où le Contrat ne leur donne pas autrement des informations et des droits d'audit répondant aux exigences pertinentes de la Loi sur la protection des données.

11. Transfert de données

11.1 Le Sous-traitant ne peut pas transférer ou autoriser le transfert de données vers des pays extérieurs à l'UE et/ou à l'Espace économique européen (EEE) sans le consentement écrit préalable de la Société. Si les données personnelles traitées dans le cadre du présent accord sont transférées d'un pays de l'Espace économique européen vers un pays hors de l'Espace économique européen, les parties veillent à ce que les données personnelles soient protégées de manière adéquate. À cette fin, les parties s'appuieront, sauf accord contraire, sur les clauses contractuelles types approuvées par l'UE pour le transfert de données personnelles.

12. Termes généraux

12.1 Confidentialité. Chaque partie doit préserver la confidentialité du présent accord et des informations qu'elle reçoit sur l'autre partie et ses activités dans le cadre du présent accord (« Informations confidentielles ») et ne doit pas utiliser ou divulguer ces informations confidentielles sans le consentement écrit préalable de l'autre partie, sauf dans la mesure où : (a) la divulgation est requise par la loi ; (b) les informations pertinentes sont déjà dans le domaine public.

12.2 Notifications. Toutes les notifications et communications données dans le cadre du présent Contrat doivent être faites par écrit et seront remises en personne, envoyées par courrier ou envoyées par courrier électronique à l'adresse ou à l'adresse e-mail indiquée dans l'intitulé du présent Contrat à toute autre adresse communiquée de temps à autre par les Parties qui changent d'adresse.

13. Loi applicable et juridiction

13.1 Le présent Contrat est régi par les lois du Royaume-Uni.

13.2 Tout litige survenant dans le cadre du présent Contrat, que les Parties ne seront pas en mesure de résoudre à l'amiable, sera soumis à la compétence exclusive des tribunaux du Royaume-Uni