convention de traitement de donnees a caractere …

Document Confidentiel – Copyright SIGMA INFORMATIQUE

Référence : Convention de Traitement des Données à Caractère Personnel (DPA) Paraphe Client ___ Paraphe Sous-Traitant ___

CONVENTION DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL (« DATA PROCESSING AGREEMENT » OU « DPA »)

SOUS-TRAITANT A SOUS-TRAITANT

PARTIE A – PREAMBULE

1. OBJET 1.1 La présente Convention de Traitement des Données à Caractère Personnel a pour objet de définir les conditions et

modalités selon lesquelles le Client, en qualité de Sous-Traitant Antérieur, confie à SIGMA INFORMATIQUE en qualité de Sous-Traitant des opérations de Traitement de Données à Caractère Personnel et ce, pour le compte du Responsable de Traitement.

2. DEFINITIONS 2.1 Les termes commençant par une majuscule ont la signification qui leur est attribuée ci-après, qu’ils soient exprimés au singulier,

au pluriel, sous forme de verbe, de nom ou autre, à l’exception des termes prenant toujours une majuscule. Pour les besoins de l’exécution de la présente Convention, les termes ci-dessous complètent et/ou remplacent ceux précisés dans le Contrat.

TERME DEFINITION

Autorité de contrôle L’autorité publique indépendante instituée par un Etat Membre en charge de surveiller l’application des Règlementations Informatique et Libertés, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard des Traitements et de faciliter le libre flux des Données à Caractère Personnel au sein de l’Union Européenne

Client ou Sous-Traitant Antérieur La personne morale identifiée comme telle dans le Contrat à qui le Responsable de Traitement confie des opérations de Traitements des Données à Caractère Personnel et ce, pour le compte du Responsable de Traitement.

Conditions Particulières de Traitement

Le document par lequel le Client renseigne les détails des Traitements relatifs aux Données à Caractère Personnel et dont le modèle est reproduit en Annexe 1.

Contrat La convention conclue entre le Client et le Sous-Traitant, référencée dans les Conditions Particulières de Traitement, par laquelle le Client confie au Sous-Traitant la réalisation de Prestations incluant des opérations de Traitement de Données à Caractère Personnel.

Convention de Traitement des Données à Caractère Personnel ou Convention ou DPA

Le présent document et ceux auxquels il renvoie.

Données à Caractère Personnel Toute information se rapportant à une personne physique identifiée ou identifiable.

Etat Membre Etat membre de l’Union Européenne.

Personne concernée Une personne physique identifiée ou identifiable, étant entendu qu’est réputée être une « personne physique identifiable », une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Prestations Les prestations de services confiées par le Client au Sous-Traitant au titre du Contrat.

Règlementations Informatique et Libertés

Les règlementations applicables à la protection des Données à Caractère Personnel compte tenu des Traitements confiés par le Client au Sous-Traitant, y compris le Règlement Général sur la Protection des Données UE 2016/679.

Responsable de Traitement Le client du Client qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement.

Sous-Traitant ou SIGMA INFORMATIQUE

SIGMA INFORMATIQUE, Société par actions simplifiée, au capital de 1 729 600 EUR dont le siège social est situé à LA CHAPELLE-SUR-ERDRE (44240), ZI La Gesvrine - Rue Newton et immatriculée sous le numéro 872 803 390 R.C.S. NANTES.

Sous-Traitant Ultérieur La personne physique ou morale, l’autorité publique, le service ou un autre organisme à qui le Sous-Traitant confie des opérations de Traitements des Données à Caractère Personnel

Traitement Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à Caractère Personnel et précisé dans les Conditions Particulières de Traitement.

Violation de Données Une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à Caractère Personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.



3. ENSEMBLE CONTRACTUEL 3.1 La présente Convention ainsi que les documents auxquels elle renvoie constituent une annexe indissociable au Contrat conclu

entre le Client et le Sous-Traitant.

PARTIE B – DESCRIPTION DES TRAITEMENTS

4. OBJET DES TRAITEMENTS 4.1 Les Traitements des Données à Caractère Personnel du Client confiés au Sous-Traitant sont réalisés dans le cadre des

Prestations précisées au Contrat. Les Prestations sélectionnées puis commandées auprès du Sous-Traitant constituent donc un des moyens que le Client a décidé de mettre en œuvre pour le compte du Responsable de Traitement. Dans le cadre des Prestations prévues au Contrat, le Client, donneur d’ordre du Sous-Traitant s’engage donc à superviser les Traitements pour le compte du Responsable de Traitement.

5. NATURE DES TRAITEMENTS 5.1 La nature des Traitements pouvant être réalisés sur les Données à Caractère Personnel par le Sous-Traitant pour le compte du

Client compte tenu des instructions qu’il lui communique pour le compte du Responsable de Traitement, est celle précisée dans les Conditions Particulières de Traitement.

6. FINALITES DES TRAITEMENTS 6.1 Les finalités des Traitements déterminées et poursuivies par le Responsable de Traitement sont celles précisées dans les

Conditions Particulières de Traitement. Le Sous-Traitant s’engage à ne pas traiter les Données à Caractère Personnel à d’autres fins que celles de l’exécution des Prestations précisées au Contrat.

7. TYPES DE DONNEES A CARACTERE PERSONNEL CONCERNEES PAR LES TRAITEMENTS 7.1 Les types de Données à Caractère Personnel pouvant faire l’objet de Traitements par le Sous-Traitant sont celles collectées

directement ou indirectement par le Responsable de Traitement, puis soumises par le Client au Sous-Traitant. Les types de Données à Caractère Personnel pouvant faire l’objet de Traitements par le Sous-Traitant pour le compte du Responsable de Traitement sont celles précisées dans les Conditions Particulières de Traitement.

8. CATEGORIES DE PERSONNES CONCERNEES PAR LES TRAITEMENTS 8.1 Les catégories de Personnes Concernées pouvant faire l’objet de Traitements par le Sous-Traitant pour le compte du

Responsable de Traitement sont celles précisées dans les Conditions Particulières de Traitement.

9. INFORMATIONS A COMMUNIQUER PAR LE CLIENT 9.1 Le Client s’engage à retourner les Conditions Particulières dument complétées et signées au Sous-Traitant. Une notice

informative sous forme de FAQ est intégrée en Annexe 2 de la Convention. Cette notice vise à informer le Client sur les finalités des Conditions Particulières et les risques qui pèsent sur la bonne exécution du Contrat en cas d’absence de fourniture ou des informations demandées ou de fourniture d’informations inexactes.

10. MODIFICATION DES TRAITEMENTS

10.1 Le Client s’engage à communiquer au Sous-Traitant dans les meilleurs délais tout ajout ou modification des finalités des Traitements, leur nature, les types de Données à caractère Personnel et des catégories des Personnes Concernées que le Responsable de Traitement entend réalisé afin que le Client et le Sous-Traitant puissent préalablement convenir des modalités de mise en œuvre d’éventuelles mesures de sécurité techniques et organisationnelles complémentaires et conclure de nouvelles Conditions Particulières de Traitement.



PARTIE C – DUREE DES TRAITEMENTS ET SORT DES DONNEES A LA FIN DES TRAITEMENTS

11. DATE DE DEBUT ET DE FIN DES TRAITEMENTS 11.1 Les traitements débutent à l’entrée en vigueur du Contrat et prennent fin à la cessation du Contrat. En conséquence, en cas

de cessation du Contrat pour quelque cause que ce soit, la présente Convention prendra fin de plein droit à la date effective de la cessation du Contrat.

12. SUPPRESSION OU REVERSIBILITE 12.1 A la fin des Traitements et aux frais du Client, le Sous-Traitant s’engage dans les conditions convenues d’un commun accord et

selon le choix effectué par le Responsable de Traitement, compte tenu des informations qui lui sont communiquées par le Client, à : supprimer toutes les Données à Caractère Personnel ou à les retourner au Client au terme des Prestations ou au tiers désigné par ce dernier. Le Sous-Traitant s’engage en outre à détruire les copies existantes, à moins que la règlementation en vigueur qui lui est applicable n’exige la conservation des Données à Caractère Personnel.

13. SURVIE 13.1 En cas de cessation du Contrat pour quelque cause que ce soit, le Sous-Traitant est néanmoins autorisé à conserver dans une

ou plusieurs archives intermédiaires une copie de l’ensemble des Données à Caractère Personnel éventuellement Traitées par le Sous-Traitant pendant la seule durée des délais de prescription applicables pour assurer la sauvegarde de ses droits éventuels.

PARTIE D – INSTRUCTIONS DE TRAITEMENTS

14. TRAITEMENT SUR INSTRUCTION DOCUMENTEE 14.1 Le Sous-Traitant s‘engage à ne Traiter les Données à Caractère Personnel que sur instruction documentée, y compris en ce qui

concerne les transferts de Données à Caractère Personnel vers un pays tiers à l’Union Européenne ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union Européenne ou du droit de l’Etat membre auquel le Sous-Traitant est soumis. Dans ce dernier cas, le Sous-Traitant informe le Client de cette obligation juridique avant le Traitement, sauf si le droit auquel il est soumis interdit une telle information pour des motifs importants d’intérêt public.

14.2 Le Sous-Traitant informe immédiatement le Client si, selon lui et compte tenu des informations qui lui sont communiquées par le Client, une instruction constitue une violation des Règlementations Informatique et Libertés.

15. NATURE DES INSTRUCTIONS

15.1 La notion d’instruction documentée est considérée comme acquise lorsque le Sous-Traitant agit dans le cadre de l’exécution du Contrat ou au travers de tout ordre de service écrit complémentaire qui lui est communiqué par le Client pour le compte du Responsable de Traitement, en lien avec l’exécution du Contrat et ce, aux frais du Client et sous réserve de faisabilité. Il appartient dans ce cas au Client de s’assurer que l’ordre de service écrit est suffisamment précis, détaillé et explicite.

15.2 Compte tenu de la diversité des savoir-faire ou des composants techniques d’origines différentes mis en œuvre pour la réalisation des Prestations, le Client accepte que les Sous-Traitants Ultérieurs puissent être situés en dehors de l’Union Européenne. Le Sous-Traitant peut être amené à leur transférer des Données à Caractère Personnel pour les besoins des missions qu’il leurs confie au titre des services sous-traités et ce, notamment dans le cadre des prestations de tierce maintenance applicative.

15.3 En conséquence, la présente Convention vaut instruction de procéder pour le Sous-Traitant à des transferts de Données à Caractère Personnel vers un pays tiers à l’Union Européenne ou à une organisation internationale pour la fourniture des Prestations. Ces transferts sont réalisés dans le respect des Règlementations Informatique et Libertés, à savoir : dans le cadre d’une décision d’adéquation de la Commission Européenne ou de garanties appropriées, ou le cas échéant, des règles d’entreprise contraignantes, lesquelles sont mises à la disposition du Client à première demande.

15.4 Le Client garantit le Sous-Traitant que les Traitements que les instructions qui lui transmet sont conformes à celles du Responsable de Traitement et aux Règlementations Informatiques et Libertés.



PARTIE E – SECURITE ET CONFIDENTIALITE DES DONNEES A CARACTERE PERSONNEL

16. MISE EN PLACE DE MESURES DE SECURITE TECHNIQUES ET ORGANISATIONNELLES 16.1 Le Sous-Traitant s‘engage à mettre en place, pour les Traitements qu’il réalise, des mesures de sécurité techniques et

organisationnelles appropriées afin de garantir un niveau de sécurité adapté, compte tenu de l’état de ses connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte, des finalités des Traitements qui sont portées à sa connaissance, du degré de probabilité des risques ou de leur gravité pour les droits des Personnes Concernées au titre du Traitement de leurs Données à Caractère Personnel.

16.2 Les mesures de sécurité techniques et organisationnelles mises en œuvre par le Sous-Traitant sont celles précisées dans le

document intitulé « Mesures de sécurité techniques et organisationnelles » annexé sur document séparé.

17. RESPECT DE LA CONFIDENTIALITE 17.1 Le Sous-Traitant s’engage à ne pas divulguer, sous quelque forme que ce soit, tout ou partie des Données à Caractère Personnel

Traitées et ce, en dehors des instructions documentées qui lui sont communiquées par le Client pour le comte du Responsable de Traitement, d’une disposition légale ou règlementaire l’y autorisant, ou pour assurer la sauvegarde de ses droits éventuels.

17.2 Le Sous-Traitant s‘engage à prendre les mesures raisonnables afin que ses préposés du Sous-Traitant autorisés à Traiter les

Données à Caractère Personnel respectent la confidentialité dans les conditions prévues au présent article ou soient soumis à une obligation légale appropriée de confidentialité.

18. NOTIFICATION DES VIOLATIONS 18.1 Le Sous-Traitant s’engage à notifier au Client toute Violation de Données à Caractère Personnel en lien avec les Traitements

qui lui sont confiés et ce, dans les meilleurs délais après en avoir pris connaissance. La notification est accompagnée de toute information utile en possession du Sous-Traitant afin de permettre au Client, si nécessaire, de notifier la Violation des Données au Responsable de Traitement et selon l’accord conclu entre le Client et le Responsable de Traitement à l’Autorité de Contrôle et aux Personnes Concernées le cas échéant.

PARTIE F – EXERCICE DU DROIT DES PERSONNES CONCERNEES

19. COLLECTE, INFORMATION ET RECUEIL DU CONSENTEMENT 19.1 Le Responsable de Traitement ou le Client, selon l’accord conclu entre eux, est seul responsable de recueillir le consentement

de la Personne Concernée lorsque celui-ci est requis et de lui fournir les informations et communications, y compris les modalités d’exercice de leurs droits, prévues par les Règlementations Informatique et Libertés lors de la collecte directe ou indirecte des Données à Caractère Personnel.

20. EXERCICE DU DROIT DES PERSONNES CONCERNEES 20.1 Le Responsable de Traitement ou le Client, selon l’accord conclu entre eux, est seul responsable de s’acquitter de ses

obligations de donner suite aux demandes d’exercice des droits des Personnes Concernées, à savoir le droit d’accès, le droit de rectification, le droit à l’effacement, le droit à la limitation du Traitement, le droit à la portabilité des Données à Caractère Personnel et le droit d’opposition ainsi que de notifier les Personnes Concernées de la rectification, de l’effacement des Données à Caractère Personnel ou de la limitation du Traitement.

20.2 Dans l’hypothèse où la Personne concernée exercerait ses droits directement auprès du Sous-Traitant, le Sous-Traitant

s’engage à en informer le Client dans les meilleurs délais afin que ce dernier ou le Responsable de Traitement, selon l’accord conclu entre eux, puisse répondre aux demandes des Personnes Concernées en ce qui concerne l’exercice de leurs droits.



PARTIE G – COOPERATION AVEC LE CLIENT

21. ASSISTANCE LORS DU CONTROLE DE L’AUTORITE DE CONTROLE

21.1 En cas de contrôle du Client par une Autorité de Contrôle, le Sous-Traitant s’engage à fournir au Client une assistance

raisonnable compte tenu de la nature des Traitements et des informations en sa possession et ce, sur demande écrite et aux frais du Client. Cette assistance est alors fournie pour les seuls Traitements réalisés par le Sous-Traitant, pour permettre au Client de communiquer à l’autorité de Contrôle toute information qui serait en possession exclusivement du Sous-Traitant, dans les conditions qui sont alors convenues avec le Client et sous-réserve de faisabilité.

21.2 Dans le cas où le contrôle mené par l’Autorité de Contrôle ne concernerait que les Traitements mis en œuvre par le Sous-Traitant pour ses besoins internes de responsable de traitement, celui-ci fera son affaire du contrôle et s’interdira de communiquer ou de faire état des Données à Caractère Personnel du Responsable de Traitement. Dans le cas où le contrôle mené chez le Sous-Traitant concernerait les Traitements mis en œuvre pour le compte du Responsable de Traitement, le Sous-Traitant s’engage à en informer le Client et à ne prendre aucun engagement au nom et pour le compte du Client sans son accord.

22. ASSISTANCE LORS DES NOTIFICATIONS DE VIOLATIONS DES DONNEES

22.1 En cas de Violation des Données Traitées, le Sous-Traitant s’engage à fournir au Client une assistance raisonnable compte tenu

de la nature des Traitements et des informations en sa possession et ce, sur demande écrite et aux frais du Client. Cette assistance est alors fournie pour les seules Violations des Données à Caractère Personnel en lien avec les Traitements confiés au Sous-Traitant et consiste en la fourniture d’informations qui seraient exclusivement en sa possession notamment pour les besoins d’enquête, de réduction ou de remédiation des Violations des Données à Caractère Personnel, dans les conditions qui sont alors convenues avec le Client et sous-réserve de faisabilité.

23. ASSISTANCE LORS DES ANALYSES D’IMPACT ET DES CONSULTATIONS PREALABLES 23.1 En cas de réalisation d’analyse d’impacts ou de consultations préalables de l’Autorité de Contrôle, le Sous-Traitant s’engage à

fournir au Client une assistance raisonnable compte tenu de la nature des Traitements et des informations en sa possession et ce, sur demande écrite et aux frais du Client. Cette assistance est alors fournie pour les seuls Traitements confiés au Sous-Traitant et consiste en la fourniture d’informations qui seraient exclusivement en sa possession, dans les conditions qui sont alors convenues avec le Client.

24. ASSISTANCE LORS DE L’EXERCICE DES DROITS DES PERSONNES CONCERNEES

24.1 En cas de demande d’exercice des droits des Personnes Concernées, le Sous-Traitant s’engage à fournir au Client une assistance

raisonnable compte tenu de la nature des Traitements et des informations en sa possession et ce, sur demande écrite et aux frais du Client. Cette assistance est fournie pour les seules Personnes Concernées par les Traitements confiés au Sous-Traitant, et consiste à prendre des mesures de sécurité techniques et organisationnelles appropriées dans la mesure du possible pour que le Client s’acquitte de ses obligations vis-à-vis du Responsable de Traitement et des personnes concernées. Cette assistance est fournie, sous réserve que le Client justifie ne pas pouvoir satisfaire lui-même à cette demande, dans les conditions qui sont alors convenues avec le Client et sous-réserve de faisabilité.

25. ASSISTANCE A LA MISE EN OEUVRE DES MESURES DE SECURITE TECHNIQUES ET ORGANISATIONNELLES 25.1 Compte tenu de la nature, de la portée, du contexte, des finalités des Traitements poursuivis par le Responsable de Traitement,

du degré de probabilité des risques ou de leur gravité pour les droits des Personnes Concernées au titre du Traitement de leurs Données à Caractère Personnel, le Sous-Traitant, s’engage à mettre en œuvre les mesures de sécurité techniques et organisationnelles complémentaires qui pourraient être requises par le Client pour le compte du Responsable de Traitement et ce, sur demande écrite et aux frais du Client. Cette assistance est alors fournie pour les seuls Traitements confiés au Sous-Traitant, dans les conditions qui sont alors convenues avec le Client et sous-réserve de faisabilité.

PARTIE H – AUDIT

26. OBJET ET CONDITIONS DE REALISATION DE L’AUDIT 26.1 Sous réserve d’un préavis de quinze (15) jours envoyé par lettre recommandée avec avis de réception, le Client peut procéder

sous sa responsabilité à un audit portant sur le respect par le Sous-Traitant des obligations prévues en matière de sous-traitance au titre des Règlementations Informatique et Libertés. L’audit est réalisé aux frais du Client et pendant les heures habituelles d’ouverture du Sous-Traitant sans que cela ne perturbe les activités et l’organisation quotidienne du Sous-Traitant.



26.2 L’audit ne peut avoir lieu plus d’une (1) fois par année à moins que celui-ci ne soit exigé par une Autorité de Contrôle ou par toute autre autorité similaire qui ordonne de procéder à un audit sur le respect par le Sous-Traitant des obligations prévues en matière de sous-traitance au titre des Règlementations Informatique et Libertés. Le Client doit communiquer au Sous-Traitant au moins quinze (15) jours avant la date de début de réalisation de l’audit prévu la liste de ses questions et points devant être audités. Avant de débuter l’audit, le Client et le Sous-Traitant devront s’accorder sur l’étendue, le calendrier et la durée de l’audit.

26.3 En tout état de cause, le Client s’engage à rembourser le Sous-Traitant pour le temps qu’il a consacré à l’audit ainsi que celui consacré par ses Sous-Traitants Ultérieurs au tarif alors en vigueur chez le Sous-Traitant ou le Sous-Traitant Ultérieur, lesquels sont mis à disposition du Client sur demande de ce dernier.

27. MODALITES DE REALISATION DE L’AUDIT 27.1 Le Sous-Traitant accepte que l’audit soit réalisé directement par un ou plusieurs préposés du Client ou indirectement par ou

conjointement avec un cabinet d’audit ou d’expertise mandaté par le Client, approuvé par le Sous-Traitant et reconnu comme auditeur indépendant de l’organisation de chacune des parties.

27.2 Lors de la réalisation de l’audit, le Sous-Traitant s’engage à mettre à disposition du Client les informations nécessaires et utiles

pour démontrer le respect par le Sous-Traitant des obligations prévues en matière de sous-traitance en lien avec les Traitements réalisés au titre des Règlementations Informatique et Libertés et de la présente Convention.

27.3 L’audit doit donner lieu à un rapport d’audit du Client ou du tiers qu’il a mandaté à cet effet, prenant en compte les remarques et observations éventuelles du Sous-Traitant, et dont une (1) copie est remise au Sous-Traitant pour que ce dernier puisse émettre ses observations et réponses ou pour qu’il puisse discuter avec le Client, si besoin, de l’éventuel plan de correction qui serait décidé d’un commun accord, le cas échéant.

PARTIE I – SOUS-TRAITANCE EN CASCADE

28. AUTORISATION GENERALE 28.1 Le Client accepte que le Sous-Traitant puisse sous-traiter tout ou partie des Traitements à des Sous-Traitant Ultérieurs. Le Sous-

Traitant s’engage à répercuter aux Sous-Traitants Ultérieurs et ce, au travers d’un contrat, les mêmes obligations ou des obligations similaires à celles prévues dans la présente Convention. Le Sous-Traitant veille à s’assurer qu’ils présentent des garanties quant à la mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées ou à toute autre garantie satisfaisante en cas de transfert hors de l’Union Européenne, de manière à ce que les Traitements qui lui sont confiés répondent aux exigences des Règlementations Informatiques et Libertés.

28.2 Si les Sous-Traitants Ultérieurs ne remplissent pas leurs obligations en matière de protection des Données à Caractère Personnel, le Sous-Traitant demeure pleinement responsable devant le Client de l’exécution par les Sous-Traitants Ultérieurs de ses obligations conformément aux termes du Contrat.

29. AJOUT OU REMPLACEMENT DE SOUS-TRAITANTS ULTERIEURS 29.1 Le Sous-Traitant s’engage à informer le Client par tout moyen de tout changement par ajout ou remplacement de Sous-Traitant

Ultérieur. Le Client dispose d’un délai de trente (30) jours à compter de la communication de l’information pour émettre des objections à l’encontre de ces changements et ce, sous réserve de justifier d’un motif avéré et légitime par écrit. Si le Client justifie d’un motif avéré et légitime pour le Client, ce dernier s’engage à fournir les justificatifs au Sous-Traitant et ce dernier s’engage à faire ses meilleurs efforts pour trouver une solution alternative.

29.2 Le Sous-Traitant tient à la disposition du Client, une liste des Sous-Traitants Ultérieurs impliqués dans le Traitement de Données à Caractère Personnel.

PARTIE J – ACCORD ET SIGNATURE

Les Parties souscrivent sans réserve à la présente Convention par la signature de leurs représentants déclarant être dûment autorisés et avoir la pleine capacité aux fins des présentes.

Pour le Client Pour le Sous-Traitant

Raison sociale : Raison sociale : SIGMA INFORMATIQUE

Lieu : Lieu :

Date : Date :



Identité : Identité :

Fonction : Fonction :

Signature :

Signature :



ANNEXE 1 - MODELE DE CONDITIONS PARTICULIERES DE TRAITEMENT A LA CONVENTION DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL


Référence du Contrat :

PARTIE A – NATURE DES TRAITEMENTS POUVANT ETRE CONFIES AU SOUS-TRAITANT

TYPES DE TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL

☐ Collecte ☐ Consultation

☐ Enregistrement ☐ Utilisation

☐ Organisation ☐ Communication par transmission

☐ Structuration ☐ Diffusion ou toute autre forme de mise à disposition

☐ Conservation ☐ Rapprochement ou interconnexion

☐ Adaptation ☐ Limitation

☐ Modification ☐ Effacement

☐ Extraction ☐ Destruction

PARTIE B – FINALITES DES TRAITEMENTS DES DONNEES A CARACTERE PERSONNEL

Les Finalités des Traitements poursuivies par le Responsable de Traitement sont :

- [Finalité 1], - [Finalité 2], - [Finalité 3], - [Finalité 4], - [Finalité 5], - [Finalité 6], - [Finalité 7].

PARTIE C – TYPES DE DONNEES A CARACTERE PERSONNEL

CATEGORIES DE DONNEES A CARACTERE PERSONNEL

DONNEES NON SENSIBLES

☐ Données d'identification ☐ Données d'ordre économiques et financières

☐ Données de vie professionnelle ☐ Données de connexion

☐ Données de vie personnelle ☐ Données de localisation

DONNEES SENSIBLES

☐ Données révélant l'origine raciale ou ethnique ☐ Données concernant la santé

☐ Données révélant les opinions politiques ☐ Données concernant la vie sexuelle ou l'orientation sexuelle

☐ Données révélant l'appartenance syndicale ☐ Données concernant des condamnations pénales ou des infractions

☐ Données génétiques ☐ Numéro d'identification national unique

☐ Données biométriques aux fins d'identification - ----------------------------------------------------------------------------------

PARTIE D – CATEGORIES DE PERSONNES CONCERNEES PAR LES TRAITEMENTS

Les catégories de Personnes Concernées par les Traitements sont :

- [Catégorie 1], - [Catégorie 2], - [Catégorie 3], - [Catégorie 4], - [Catégorie 5], - [Catégorie 6], - [Catégorie 7].



PARTIE E – ACCORD ET SIGNATURE

Les Parties souscrivent sans réserve aux présentes Conditions Particulières par la signature de leurs représentants déclarant être dûment autorisés et avoir la pleine capacité aux fins des présentes.

Pour le Client Pour le Sous-Traitant

Raison sociale : Raison sociale : SIGMA INFORMATIQUE

Lieu : Lieu :

Date : Date :

Identité : Identité :

Fonction : Fonction :

Signature :

Signature :



ANNEXE 2 – NOTICE INFORMATIVE FAQ CONDITIONS PARTICULIERES DE TRAITEMENT


Pourquoi remplir les conditions particulières ? Au titre de l’article 28.4 du Règlement (UE) 2016/679 relatif à la protection des données (« RGPD »), le client (en tant que sous-traitant antérieur) et le prestataire (en tant que sous-traitant du sous-traitant antérieur) sont tenus de conclure une convention de traitements de données à caractère personnel communément appelé Data Privacy Agreement dès lors que le prestataire traite des données à caractère personnel pour le compte du client. L’objet des clauses devant figurer dans la convention est indiqué aux articles 28.4 du RGPD qui renvoi à l’article 28.3. Ces clauses prévoient un ensemble d’obligations et de responsabilités pour le client et le prestataire (dans le corps de la convention). L’article 28.3 du RGPD exige aussi que la convention précise certaines informations dont le prestataire n’a pas connaissance. Celles-ci doivent donc lui être communiquées par le client (dans les conditions particulières). Que se passe-t-il si les conditions particulières de traitements ne sont pas retournées ou si les informations sont inexactes ? Si les conditions particulières ne sont pas retournées ou si les informations qui y sont mentionnées sont inexactes, SIGMA INFORMATIQUE ne pourra pas remplir correctement l’ensemble de ses obligations de sous-traitant au titre du RGPD. Si vous n’êtes pas en mesure de remplir les conditions particulières concomitamment à la signature de la convention, nous vous demandons néanmoins de nous retourner la convention signée. Cela permettra à SIGMA INFORMATIQUE de remplir déjà une partie de ses obligations de sous-traitant. Nous vous rappelons qu’il est de votre responsabilité de communiquer à SIGMA INFORMATIQUE les informations qui vous sont demandées dans le cadre des conditions particulières. En outre, il est aussi de votre responsabilité de pouvoir démontrer en cas de contrôle des autorités de contrôle en matière de protection des données (la CNIL en France) que vous avez un contrat avec votre prestataire conforme à l’article 28.4 du RGPD précisant également les informations demandées dans les conditions particulières. Comment trouver les informations devant être fournies dans les conditions particulières ? En tant que sous-traitant antérieur, vous êtes tenus d’avoir collecté auprès du responsable de traitement un ensemble d’informations sur les traitements de données à caractère personnel que vous réalisez et que vous confiez à SIGMA INFORMATIQUE. Ce sont notamment les finalités des traitements poursuivies par le responsable de traitement, les types de données à caractère personnel, la nature des traitements devant être réalisés et les catégories de personnes concernées. Si vous êtes tenu de disposer d’un registre des activités de traitements en application de l’article 30.2 du RGPD, alors vous trouverez une partie de ces informations dans votre registre. Vous pouvez aussi demander l’aide de votre délégué à la protection des données si vous en avez nommé un ou celle de toute personne qui a été désignée dans votre organisation pour superviser la protection des données à caractère personnel que vous traitez ou que vous confiez en traitement à vos sous-traitant. Si cette personne n’existe pas, vous pouvez vous renseigner auprès de la CNIL (www.cnil.fr). Vous pouvez également faire appel à l’un des prestataires spécialisé dans l’accompagnement à la protection des données et dont les coordonnées figurent sur le site du SYNTEC (https://syntec-numerique.fr/conseil-juridique-numerique/guide-juridique/referencement-prestations-accompagnement-mise-en-oeuvre). Néanmoins, pour vous aider à savoir quelle sont les informations qui sont demandées dans les Conditions Particulières, nous avons prévu ci-après des exemples qui nous l’espérons vous permettront de mieux comprendre ce qu’il faut entendre par personnes concernées, traitement, données à caractère personnel et finalité de traitement. A quoi correspondent les finalités des traitements ? Les finalités d’un traitement correspondent aux objectifs que le responsable de traitement poursuit en traitant des données à caractère personnel. Les finalités sont propres au responsable de traitement et dépendent de son activité, de ses processus et politiques internes. Se demander quelles sont les finalités, c’est se demander pourquoi et à quoi servent les données à caractère personnel. 3 exemples concrets :

http://www.cnil.fr/

https://syntec-numerique.fr/conseil-juridique-numerique/guide-juridique/referencement-prestations-accompagnement-mise-en-oeuvre

https://syntec-numerique.fr/conseil-juridique-numerique/guide-juridique/referencement-prestations-accompagnement-mise-en-oeuvre



Cas 1 – Le responsable de traitement dispose d’un service ressources humaines : Le responsable de traitement traite surement des données à caractère personnel concernant des salariés ou des stagiaires. Ces traitements sont probablement destinés à des fins d’exécution du contrat de travail ou de stage, de réalisation de la paye des collaborateurs ou de gratification des stagiaires, d’évaluation des performances de collaborateurs, de suivi des absences, etc… Cas 2 – Le responsable de traitement vend des biens et des services : Le responsable de traitement collecte et traite surement des données à caractère personnel concernant des prospects et des clients. Ces traitements sont probablement destinés à des fins d’exécution du contrat de vente, de suivi de la relation client, de prospection réalisation etc… Cas 3 – Le responsable de traitement est un établissement de santé : Le responsable de traitement collecte puis traite surement des données à caractère personnel concernant des patients. Ces traitements sont probablement destinés à des fins d’administration de soins, de suivi médical, de recherche, etc… A quoi correspondent les types de Données à Caractère Personnel ? Les types de données à caractère personnel correspondent à des regroupements de données à caractère personnel au sein de grandes catégories. Le tableau ci-dessous vous donne des exemples pour savoir de quelle catégorie relèvent les données à caractère personnel que collectées et traitées.

TYPE EXEMPLES (A TITRE INDICATIF)

DONNEES NON SENSIBLES

Données d'identification Nom, prénom, n° de pièce d’identité, adresse, identifiant et mot de passe, n° de téléphone, adresse, email, n° d’adhérent, n° de contrat, n° de compte, etc..

Données de vie professionnelle Fonction, salaire, appréciation professionnelle, diplômes obtenus, etc…

Données de vie personnelle Statut marital, nombre d’enfants, taille, couleur des yeux, pointure des chaussures, préférence alimentaires, préférence de voyage, etc…

Données d'ordre économiques et financières RIB, n° de carte bancaire, information sur les difficultés économiques, etc…

Données de connexion Logs de connexions, cookies, etc…

Données de localisation Données issues de GPS ou de systèmes permettant d’indiquer où se situe une personne.

DONNEES SENSIBLES

Données révélant l'origine raciale ou ethnique Information sur l’ethnie, les origines, etc…

Données révélant les opinions politiques Informations relatives à des adhésions à des partis politiques, intentions de vote, etc…

Données révélant l'appartenance syndicale Information relatives à des adhésions à des syndicats ou participations à des éventements syndicaux, etc…

Données génétiques Données relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique, etc….

Données biométriques aux fins d'identification Empreinte digitale ou vocale, contour/réseau veineux de la main, image de la rétine, etc…

Données concernant la santé

Numéro, symbole ou élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé, informations obtenues lors de test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques, toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro, etc…

Données concernant la vie sexuelle ou l'orientation sexuelle

Préférences, pratiques sexuelles, etc…

Données concernant des condamnations pénales ou des infractions

Informations sur les crimes et délits commis, etc…

Numéro d'identification national unique N° de sécurité sociale.

A quoi correspondent les catégories de personnes concernées ?



Les catégories de personnes concernées correspondent aux types de personnes physiques dont les données à caractère personnel font l’objet d’un traitement. 3 exemples concrets (toujours les mêmes pour aller plus loin dans la réflexion) : Cas 1 – Le responsable de traitement dispose d’un service ressources humaines : Le responsable de traitement collecte puis traite ou confie le traitement des données à caractère personnel concernant probablement des candidats, des salariés, des stagiaires, etc… Cas 2 – Le responsable de traitement vend des biens et des services : Le responsable de traitement collecte puis traite ou confie le traitement des données à caractère personnel concernant probablement des prospects et des clients, ou celles de leurs collaborateurs lorsque le prospect ou le client ne sont pas des consommateurs mais des personnes morales. Cas 3 – Le responsable de traitement est un établissement de santé : Le responsable de traitement collecte puis traite ou confie le traitement des données à caractère personnel concernant probablement des patients. A quoi correspondent les catégories de Traitements ? Les catégories de traitements ne correspondent pas aux services et prestations que nous vous commercialisons mais aux opérations sur les données à caractère personnel elles-mêmes et que vous nous confiez.

TYPE EXEMPLES (A TITRE INDICATIF)

Collecte Obtenir des données auprès des personnes concernées

Enregistrement Saisir, reprendre ou synchroniser des données

Organisation Dédoublonner, joindre, filtrer ou grouper des données

Structuration Indexer des données

Conservation Héberger ou stocker des données

Adaptation Changer le format des données

Modification Rectifier des données

Extraction Exporter de données

Consultation Visualiser des données

Utilisation Manipuler les données pour obtenir un résultat attendu

Communication par transmission Envoyer des données par un réseau de transmission

Diffusion ou toute autre forme de mise à disposition Fournir des données par tout moyen

Rapprochement ou interconnexion Envoyer ou réceptionner des données par interface

Limitation Limiter temporairement le traitement à l’exception de la conservation des données

Effacement Suppression de la donnée

Destruction Effacement définitif et irréversible de donnée

-------------------------------------------------------------

FIN DU DOCUMENT

convention de traitement de donnees a caractere …

Documents