19 Oct Data Protection Agreement – Sous-Traitant/Responsable de Traitement

Posted at 12:56h in Non classé by

Data Protection Agreement

Sous-Traitant/Responsable de Traitement

TECH 4 TEAM – ARENAMETRIX
157 Boulevard Macdonald
LE CARGO
75019 PARIS
Tel : 01.42.81.41.85Courriel : compta@arenametrix.com

I - DEFINITIONS

Pour les besoins des présentes et nonobstant toutes autres définitions prévues au sein des Conditions Particulières et Générales de Service (CGS-CPS) auquel le présent Data Protection Agreement (DPA) est Annexé, les termes suivants auront le sens qui est donné ci-dessous :

  • « Données » : désigne tous types d’informations et/ou données auxquelles les Parties ont accès dans le cadre des relations contractuelles, quel que soit le format ou le support, que ce soit des Données personnelles (définies ci-après) ou non (ex : données financières, opérateurs, clients, partenaires, stratégiques, techniques, professionnelles, administratives, commerciales, juridiques, comptables …)

 

  • « Données personnelles » : désigne toute information relative à une personne physique identifiée ou qui peut être identifiée comme telle, soit directement soit indirectement par regroupement d’informations, par référence à un numéro d’identification ou à des éléments qui lui sont propres : nom, adresse, numéro de téléphone, adresse IP, adresse email, numéro d’immatriculation d’un véhicule, matricule professionnel, identifiant/login, mot de passe, données de connexion, etc. 

 

  • « Données sensibles » : désigne les catégories particulières de données dont le traitement est par principe interdit. Il s’agit des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

 

  • « Pays tiers » : Désigne tout Etat non membre de l’Union européenne. Cette terminologie regroupe également toute organisation internationale comportant des pays non-membres de l’Union européenne

 

  • « Personne concernée » : désigne l’ensemble des personnes dont les données à caractère personnel font l’objet d’un traitement de données.

 

  • « Responsable de traitement » ou « Client » : désigne la personne qui détermine les moyens et les finalités du traitement et qui a souscrit aux Services proposés par TECH 4 TEAM. 

 

  • « Réglementation sur la Protection des données » : Désigne la réglementation en vigueur applicable au Traitement de Données Personnelles et, en particulier :
    • le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018 dit « Règlement Général sur la Protection des Données » (ci-après « RGPD ») ;
    • la loi « Informatique et Libertés » n°78-17 du 6 janvier 1978 modifiée ; 
    • toute législation entrant en vigueur et susceptible d’affecter les Traitements visés par le présent DPA ; 
    • tout guide de bonnes pratiques publié par les Autorités de régulation compétentes ou le Comité Européen sur la Protection des Données.

 

  • « Services » : désigne l’ensemble des services proposés par TECH 4 TEAM tels que notamment décrits à l’adresse http://tech4team.fr/.

 

  • « Sous-traitant » : désigne la personne traitant des données à caractère personnel pour le compte du responsable du traitement, il agit sous l’autorité du Responsable du Traitement et sur instruction de celui-ci. En l’espèce, conformément à l’article 11.2 (i) des Conditions Générales de Services TECH 4 TEAM aura le statut de sous-traitant au sens de la réglementation.

 

  • « Traitement » : désigne toutes opérations portant sur des informations, quel que soit le procédé utilisé (automatisé ou non automatisé). Sont donc visées toutes formes de traitement des Données, que ce soit sur support informatique ou autres (papier, enregistrement vidéo, audio, …). S’agissant en particulier de Données personnelles, il peut s’agir d’opérations de collecte, d’enregistrement, d’organisation, de conservation, d’adaptation, de modification, d’extraction, de consultation/visualisation, de diffusion ou de mise à disposition.

 

  • « Violation de données à caractère personnel » : désigne une faille de sécurité qui entraîne accidentellement ou illicitement l’accès à ou la destruction, la perte, l’altération, la divulgation non autorisée d’Informations personnelles transmises, stockées ou traitées.

II - OBJET

La présente Annexe a pour objet de définir les conditions dans lesquelles TECH 4 TEAM s’engage, en sa qualité de Sous-Traitant, à effectuer pour le compte du Responsable de Traitement les opérations de traitement de données à caractère personnel définies ci-après. 

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil entré en vigueur le 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »), la loi « Informatique et libertés » n°78-17 du 6 janvier 1978 modifiée et les réglementations en matière de propriété industrielle et intellectuelle.

Il est entendu expressément que la présente Annexe a fait l’objet d’une négociation entre les Parties.

III - DUREE DU CONTRAT

La présente Annexe entre en vigueur à compter de sa signature et restera en vigueur durant toute la durée de la relation contractuelle unissant TECH 4 TEAM en sa qualité de sous-traitant et le Responsable de Traitement. 

Le présent Accord se substitue à toute clause applicable en matière de protection des Données personnelles. En cas de contradiction, les Parties conviennent expressément que la présente Annexe prévaut sur tous autres accords portant sur les Services et Prestations

IV - DESCRIPTION DU TRAITEMENT FAISANT L’OBJET DE LA SOUS-TRAITANCE

La description des traitements confiés par le Responsable de Traitement à TECH 4 TEAM ainsi que ses instructions documentées figurent en Appendice 1 de la présente Annexe. Le traitement consiste en un traitement global : “Gestion et optimisation de la relation clientèle du Responsable du Traitement” et décomposé en sous-traitements dans l’Appendice 1.

Il est néanmoins précisé que TECH 4 TEAM n’a pas vocation à héberger des traitements de données sensibles, et ne dispose pas de surcroît de l’agrément « Hébergement des données de santé » prévu à l’article Article L1111-8 du Code de la santé publique. Le Responsable de Traitement qui procédera à des traitements de données sensibles assumera à lui seul la pleine et entière responsabilité de ses actes, sans que la responsabilité de TECH 4 TEAM ne puisse être engagée. 

TECH 4 TEAM respecte les durées légales de conservation de ses données clients. En application de l’article L.123-22 du Code de commerce, les données clients seront ainsi conservées 10 ans pour l’établissement de preuves et 5 ans pour prouver l’existence du contrat en application de l’article 2224 du Code civil.

Par ailleurs, concernant les données du Responsable de Traitement générées dans le cadre des Services et dont le Responsable de Traitement est propriétaire, TECH 4 TEAM n’est tenue à aucune obligation de conservation desdites données, le responsable de traitement ayant seul la charge de définir les durées de conservation des données, et de procéder à des sauvegardes régulières.. A ce titre, le Responsable de Traitement s’engage à fournir à TECH 4 TEAM les durées de conservation pour chaque catégorie de données dont le traitement est délégué à TECH 4 TEAM en renseignant l’Appendice 1.

En cas de fin des relations contractuelles, les modalités de suppression des données sont détaillées à l’Article XIII « Sort des données à la fin de la relation contractuelle ».

V - OBLIGATIONS GENERALES DES PARTIES

5.1. Obligations générales de TECH 4 TEAM

De manière générale, TECH 4 TEAM s’engage à : 

  • traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance 
  • traiter les données conformément aux instructions documentées du responsable de traitement figurant en Appendice de la présente Annexe. 
  • garantir la confidentialité des données à caractère personnel traitées dans le cadre de la présente Annexe 
  • veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu de la présente Annexe : 
    • s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
    • reçoivent la formation nécessaire en matière de protection des données à caractère personnel 
  • prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut
  • désigner un interlocuteur privilégié chargé de représenter TECH 4 TEAM. Cet interlocuteur privilégié devra être doté de l’expérience, de la compétence, de l’autorité et des moyens nécessaires à l’exercice de sa mission.
  • Prendre les mesures requises relatives à la sécurité des données telles que décrites dans l’Appendice 2,
  • Informer le Responsable de traitement si selon lui, une instruction constitue une violation de la Réglementation applicable en la matière de Protection des données personnelles.

 

5.2. Obligations générales du Responsable de Traitement

De manière générale, le Responsable de Traitement s’engage à : 

  • fournir à TECH 4 TEAM les données visées au IV de la présente Annexe nécessaires à la sous-traitance
  • documenter par écrit toute instruction concernant le/les traitement(s) de données effectué(s) par TECH 4 TEAM en complétant l’Appendice 1
  • veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le Règlement Européen sur la protection des données de TECH 4 TEAM
  • superviser le traitement
  • désigner un interlocuteur privilégié chargé de représenter le Responsable de traitement. Cet interlocuteur privilégié devra être doté de l’expérience, de la compétence, de l’autorité et des moyens nécessaires à l’exercice de sa mission.

VI - RESPECT DES INSTRUCTIONS

TECH 4 TEAM s’engage à suivre strictement les instructions formulées par le Responsable de traitement pour la réalisation des opérations de traitement prévues dans le cadre de l’exécution des Services.

En cas d’impossibilité ou de difficulté dans la réalisation de certaines instructions, TECH 4 TEAM en informera le Responsable de Traitement dans les meilleurs délais. 

TECH 4 TEAM peut formuler une demande écrite de dérogation aux instructions. TECH 4 TEAM devra recueillir l’autorisation écrite, préalable et spécifique du Responsable de Traitement pour pouvoir procéder à cette dérogation. 

VII - PERSONNEL de TECH 4 TEAM

7.1. Qualification du personnel

TECH 4 TEAM affectera à la réalisation des Services des équipes suffisantes et qualifiées disposant des compétences techniques et/ou fonctionnelles nécessaires à la fourniture des Services. Ces équipes sont formées à la réglementation en matière de protection des données à caractère personnel.

TECH 4 TEAM s’engage à maintenir les membres clés de ses équipes pendant toute la durée d’exécution des Prestations, sauf en cas de maladie, d’incapacité temporaire ou de démission des intéressés. TECH 4 TEAM s’assurera du transfert du savoir-faire entre la personne remplacée et son remplaçant.

7.2. Non-subordination du personnel

Il est ici précisé que les personnels TECH 4 TEAM ne seront en aucune manière liés au Responsable de traitement, par un quelconque lien de subordination. La seule personne habilitée à prendre des mesures d’ordre disciplinaire, d’organisation de travail et d’une manière générale, à régler tous problèmes relatifs à la gestion du personnel, est TECH 4 TEAM. Ainsi, le personnel de TECH 4 TEAM demeure placé sous la seule autorité, direction et surveillance de TECH 4 TEAM qui s’assure en sa qualité d’employeur de la gestion administrative, comptable et sociale de ses salariés et du respect par ceux-ci des règles et consignes en matière d’hygiène et sécurité.

7.3. DPO

Kévin Vitoz est le DPO de Tech4Team
kevin.vitoz@arenametrix.com
0142814185

VIII - APPEL A LA SOUS-TRAITANCE

TECH 4 TEAM fait appel à deux sous-traitants : 

  • SendinBlue (routage des emails et sms) 

SendinBlue – 55 rue d’Amsterdam – 750008 Paris – n° TVA FR80498019298

Contrat automatiquement renouvelable tous les ans – Julien cros- julien@sendinblue.com – 0176440146

  • AWS (hébergement) comme sous-traitants. 

AWS EMEA SARL – 38 avenue John F Kennedy – L-1855 Luxembourg

Contrat automatiquement renouvelable tous les mois 

En vertu de l’article 28 2 du règlement européen sur la protection des données, le Responsable de Traitement autorise de manière expresse TECH 4 TEAM à faire appel à d’autres sous-traitants (ci-après, « les sous-traitants ultérieurs ») pour mener des activités de traitement spécifiques dans le cadre de l’exécution de ses prestations. TECH 4 TEAM informe préalablement et par écrit le Responsable de Traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants.

Cette information indiquera clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant ultérieur et les dates du contrat de sous-traitance.

Le responsable de traitement dispose d’un délai de quinze (15) jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu. Il est expressément convenu qu’en cas de silence du Responsable de traitement, celui-ci vaudra acceptation du sous-traitant ultérieur.

Le sous-traitant ultérieur est tenu de respecter les obligations de la présente Annexe pour le compte et selon les instructions du responsable de traitement. Il appartient à TECH 4 TEAM de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données.

Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, TECH 4 TEAM demeure pleinement responsable devant le Responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

IX - INFORMATION DES PERSONNES CONCERNÉES ET GESTION DES DROITS

9.1. Information des personnes
Il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement qu’il met en œuvre au moment de la collecte des données conformément aux articles 13 et suivants du Règlement Européen sur la protection des données et à l’article 32 de la loi n°78-17 du 6 janvier 1978 modifiée.

9.2. Gestion des droits
Dans la mesure du possible, TECH 4 TEAM aide le Responsable de Traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage), droit d’organiser le sort de ses données personnelles après la mort notamment. 

Il s’agit d’une obligation de moyen à l’exclusion de toute obligation de résultat. TECH 4 TEAM fera ses meilleurs efforts pour collaborer avec le Responsable de Traitement au regard des missions qui lui ont été confiées par ce dernier.

Lorsque les personnes concernées exercent auprès de TECH 4 TEAM des demandes d’exercice de leurs droits, TECH 4 TEAM adressera ces demandes dans les vingt-quatre (24) heures suivant leur réception par courrier électronique à  ……………………………  à l’adresse email suivante : ………………………………………..

X - AIDE ET CONSEIL SUR LA MISE EN CONFORMITE

TECH 4 TEAM met tous les moyens nécessaires pour aider le Responsable de traitement dans la réalisation d’analyses d’impact relative à la protection des données ainsi que pour la réalisation de la consultation préalable de l’autorité de contrôle.

Dès que TECH 4 TEAM a connaissance d’une pratique effectuée par le Responsable de traitement qui lui semblerait contraire à la réglementation en matière de protection des données à caractère personnel, elle en informera le Responsable de traitement par voie électronique.

XI - MESURES DE SECURITE

TECH 4 TEAM s’engage à mettre en œuvre les mesures de sécurité prévues en Appendice 2 « Engagements de sécurité » de la présente Annexe.

XII - VIOLATION DE DONNEES A CARACTERE PERSONNEL

TECH 4 TEAM notifie au Responsable de traitement toute violation de données à caractère personnel dans un délai maximum de soixante-douze [72] heures après en avoir pris connaissance par message électronique et par courrier avec accusé de réception. 

Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

Le DPO et/ou le représentant de TECH 4 TEAM participera, sur demande du Responsable de traitement, au comité de crise éventuellement déclenché par le Responsable de traitement qui se réunira lors de la survenance d’une violation de données à caractère personnel.

Après accord exprès du Responsable de traitement, TECH 4 TEAM pourra être amenée à notifier à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du Responsable de Traitement, les violations de données à caractère personnel impliquant les Services dans les meilleurs délais et, si possible, soixante-douze [72] heures au plus tard après en avoir pris connaissance. Les frais engagés pour cette notification seront supportés par le Responsable de traitement.

La notification contient au moins :

  • la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • la description des conséquences probables de la violation de données à caractère personnel ;
  • la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. 

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. 

Après accord exprès du responsable de traitement, TECH 4 TEAM communiquera également, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation implique les Services et qu’elle est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Les frais engagés pour cette communication seront supportés par le Responsable de traitement.

La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :

  • la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • la description des conséquences probables de la violation de données à caractère personnel ;
  • la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

XIII - SORT DES DONNEES A LA FIN DE LA RELATION CONTRACTUELLE

Les données des clients du Responsable de Traitement seront détruites par TECH 4 TEAM en cas de fin des relations pour quelle que raison que ce soit conformément à l’article 7.4 des Conditions Générales de Services.

XIV - TENUE DU REGISTRE DES ACTIVITÉS DE TRAITEMENT

TECH 4 TEAM déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement comprenant :

  • le nom et les coordonnées du Responsable de traitement pour le compte duquel elle agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
  • les catégories de traitements effectués pour le compte du Responsable du traitement ;
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du Règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ;
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
    • la pseudonymisation et le chiffrement des données à caractère personnel;
    • des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
    • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
    • une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

TECH 4 TEAM met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par un auditeur dûment mandaté par les Parties, et contribuer à ces audits.

XV - TRANSFERTS DE DONNÉES EN DEHORS DE L’UNION EUROPÉENNE

Dans l’hypothèse où TECH 4 TEAM serait tenue de procéder à un transfert de données vers un Pays Tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel elle est soumise, elle informera le Responsable du traitement de cette obligation juridique avant le transfert, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

XVI - PROPRIETE DES DONNEES

Sauf accord express contraire, le Responsable de traitement demeure seul propriétaire des données issues de son utilisation des Services.
Les statistiques anonymisées issues de son utilisation des Services, bien que partagées au Responsable de traitement, sont la propriété de TECH 4 TEAM conformément à l’article 11-2 (ii) des Conditions Générales de Services.

XVII - RESPONSABILITÉ

Etant donné la nature des activités respectives des Parties, des risques associés à ces activités et la contrepartie que chaque Partie retire du Contrat, il est convenu que les risques y afférent seront répartis comme suit.

En cas de responsabilité de TECH 4 TEAM envers le Responsable de traitement ou envers tout tiers du fait de la mauvaise ou de la non-exécution par TECH 4 TEAM de ses obligations contractuelles, TECH 4 TEAM sera responsable des dommages directs subis par le Responsable de traitement à l’exclusion de tout dommage indirect.

Conformément à ses engagements contractuels de qualité de service, TECH 4 TEAM mettra en œuvre tous les moyens nécessaires pour assurer la sécurité des traitements. TECH 4 TEAM ne pourra être tenue pour responsable que des dommages qui seraient directement liés à une défaillance de sécurité imputable à ses Services et entraînant une indisponibilité, une perte de traçabilité, un doute sur l’intégrité ou un défaut de confidentialité des données à caractère personnel. 

Il est néanmoins expressément convenu entre les Parties que le risque zéro en matière de sécurité n’existe pas et que les engagements de sécurité souscrits par TECH 4 TEAM constitue une obligation de moyen à l’exclusion de toute obligation de résultat.

Il est expressément convenu entre les Parties que le Responsable de traitement ne peut engager la responsabilité de TECH 4 TEAM que pendant un délai de six (6) mois à compter de la connaissance du dommage. 

De manière expresse, les Parties conviennent que les limitations de responsabilité visées au présent article survivront à la disparition du Contrat, pour quelque cause que ce soit.

XVIII - CONFIDENTIALITE

Les engagements de confidentialité des Parties sont détaillés à l’article 12 des Conditions Générales de Services.

XIX - AUDIT

Afin de mesurer objectivement la sécurité des traitements de Données mis en œuvre à travers l’utilisation des Services, le Responsable de traitement pourra faire réaliser à ses frais des audits de sécurité incluant des tests d’intrusions, dans le respect des conditions prévues au présent article et dans la limite de 2 audits par an.

Le Responsable de traitement devra obtenir l’accord écrit de TECH 4 TEAM au minimum trente (30) jours avant la réalisation de l’audit.

Le Responsable de traitement devra communiquer toutes les informations utiles relatives au test d’intrusion et notamment :

  • Les coordonnées de l’auditeur et des personnes en charge de l’audit. 
  • les adresses IP utilisées pour conduire les tests d’intrusion
  • les outils utilisés pour le test.

Les opérations d’audit ne devront pas comporter d’actions pouvant potentiellement endommager l’infrastructure hébergeant les Services ni interférer avec les autres clients utilisateurs.

Les informations obtenues au cours de l’audit sont des Informations Confidentielles au sens de la présente Annexe. 

Si le Responsable de traitement fait appel à un auditeur externe, ce dernier devra s’engager par écrit au respect des conditions fixées au présent article. Le Responsable de traitement s’engage à communiquer gratuitement le rapport d’audit à TECH 4 TEAM qui pourra présenter ses observations.

Sans préjudice de la faculté de résiliation ci-après prévue, TECH 4 TEAM disposera d’un délai de trois (3) mois à compter de la communication du rapport pour corriger les manquements et/ou non-conformités constatés.

XX - EXIGENCES SUPPLEMENTAIRES

Durant la relation contractuelle, le Responsable de Traitement peut identifier des exigences supplémentaires, autres que celles identifiées dans la présente Annexe, afin de se conformer à ses obligations en vertu de la Réglementation sur la protection des données.

Lorsque le Responsable de traitement identifie des exigences supplémentaires, les Parties collaborent de bonne foi pour convenir des modifications à cette Annexe afin de permettre la conformité des Traitements avec lesdites exigences supplémentaires. Les coûts liés à la mise en place de ces exigences supplémentaires sont supportés par le Responsable de traitement.

APPENDICE 1 : INSTRUCTIONS DOCUMENTÉES DU RESPONSABLE DE TRAITEMENT

TECH 4 TEAM est autorisée à traiter, pour le compte du Responsable de Traitement, les données à caractère personnel nécessaires pour fournir les services suivants (finalités) :

  • Permettre au responsable de traitement de pouvoir analyser le profil de ses clients
  • Permettre au responsable de traitement de pouvoir gérer les opt-in et opt-out facilement grâce à la solution ARENAMETRIX
  • Permettre au responsable de traitement de  pouvoir organiser des communications envers ses clients (emails, sms, réseaux sociaux, …) dans le respect de la RGPD
  • Permettre au responsable de traitement de s’appuyer sur des analyses et des modèles mathématiques réalisés à partir de base anonymisées dans le respect de la RGPD
  • Tous les traitements nécessaire au bon fonctionnement du service marketing, communication et billetterie du responsable du traitement sur demande du responsable du traitement

Les catégories de données personnelles suivantes sont susceptibles de faire l’objet d’un traitement :

  • Nom, Prénom
  • Age
  • Genre
  • Email, n° de téléphone, identifiant
  • Code postal et adresse postal
  • Opt-in
  • Historique d’achat
  • Historique d’emailing et sms
  • autre données fournies sur demande du responsable du traitement :
    • …… 

Les catégories de personnes concernées sont :

  • Clients du responsable du traitements (acheteurs d’un billet, d’un produit boutique ou buvette ou autres in situ ou en ligne)
  • Inscrits à la newsletter

autres :  …

APPENDICE 2 : ENGAGEMENTS DE SECURITE DE TECH 4 TEAM

Le présent Appendice a pour objet de définir les obligations de TECH 4 TEAM en matière de sécurité et de confidentialité des données. Cet Appendice, s’appliquera aux différents Services proposés par TECH 4 TEAM au Responsable de Traitement dans le cadre des relations contractuelles.

1 - DEFINITIONS

Les termes visés ci-après auront au sein du présent Appendice les définitions suivantes :

  • « Client » : désigne le Responsable de Traitement tel que défini au sein du présent Data Protection Agreement.

 

  • « Disponibilité » : désigne l’accessibilité aux serveurs ainsi qu’à la totalité des Traitements et des Données, des systèmes et applications mis en œuvre dans le cadre des Services.

 

  • « Données » : désigne (i) toute information protégée (détenue par le Client ou une tierce partie envers laquelle le Client a une obligation de non divulgation), notamment toute information financière, comptable, technique, stratégique, commerciale, juridique, administrative, tout savoir-faire et tout logiciel, comprenant sans que cette liste soit exhaustive son code source et toute traduction, compilation, copie partielle et œuvre dérivée ; (ii) toute information désignée comme étant confidentielle au moment de sa divulgation, ou lorsqu’elle est transmise à l’oral, identifiée comme étant confidentielle et consignée sous forme écrite ou autre forme matérielle (y compris électronique) comprenant un avis de confidentialité clairement stipulé et transmis à la partie destinataire dans un délai de trente (30) jours suivant la divulgation ; (iii) toute information devant, au vu des circonstances de la divulgation, être traitée de bonne foi comme étant protégée et confidentielle, auxquelles TECH 4 TEAM a accès dans le cadre des relations contractuelles quel que soit le support. Les « Données » incluent les Données Personnelles définies ci-dessous.

 

  • « Données Personnelles » : désigne toute données à caractère personnel au sens de l’article 2 de la loi n°78-17 dite informatique et libertés du 6 janvier 1978, à savoir : « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. » 


  • « Traitement » : désigne tout traitement de données à caractère personnel au sens de l’article 2 de la loi n°78-17 dite informatique et libertés du 6 janvier 1978, à savoir : « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

 

2 - SECURITE

2.1 Principes Généraux

S’agissant des Données Personnelles telles que définies ci-avant, TECH 4 TEAM s’engage à assurer le respect de ses obligations légales et réglementaires lui incombant en fonction de son rôle au titre de la protection des données à caractère personnel au regard de la loi n°78-17 du 6 janvier 1978 modifiée et du Règlement Européen pour la Protection des données entré en vigueur le 25 mai 2018.

Par ailleurs, TECH 4 TEAM s’engage à respecter toute règle de sécurité complémentaire convenue de manière expresse avec le Client dans le cadre de Conditions Particulières dérogatoires.

Ces éléments précisés, dans le cadre de son obligation générale de sécurité, TECH 4 TEAM s’engage à : 

  • N’effectuer aucune opération de Traitement de Données Personnelles si ce n’est sur instruction du Client et ce, toujours sous la responsabilité entière et exclusive du Client, 
  • Mettre tous les moyens en sa possession au regard des stipulations contractuelles et des règles de l’art pour assurer la sécurité et la confidentialité des données à caractère personnel qui lui sont confiées notamment afin d’empêcher que ces données soient endommagées, modifiées, altérées ou qu’un tiers non autorisé y ait accès.
  • Sensibiliser le Client aux risques éventuels liés aux Traitements mis en œuvre à travers les Services.
  • Notifier au Client toute survenance de faille de sécurité impactant directement ou indirectement les Données ou Traitements le concernant 
  • Procéder à des sauvegardes régulières des Données 
  • Procéder régulièrement à des tests d’intrusion (ou Pentest) conformément aux dispositions du Règlement Européen pour la protection des données entré en vigueur le 25 mai 2018
  • Intervenir pour la correction des anomalies et vulnérabilités 
  • Maintenir les matériels nécessaires au bon fonctionnement des Services, en ce compris toute nouvelle version, correctif, sauvegarde, archivage ou mise à jour, sans virus informatique, ver, bombe logique, cheval de Troie ou autre code destructeur, hostile ou espion. 

 

2.2 Mesures techniques de sécurité physique et logique

Tech’4’Team a pris toutes précautions utiles pour préserver la sécurité des données à caractère personnel et, notamment, empêcher qu’elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès.

Ces mesures sont notamment les suivantes :

  • La transmission des données est cryptée à l’aide de la technologie SSL/https
  • Nos API sont sécurisées par des mécanismes d’authentification stateless par token à expiration courte
  • L’insertion des données est faite par un micro service développé par Tech4Team empêchant toute tentative extérieure d’effectuer des opérations non prévues sur notre base de données
  • Nous gérons le multi tenancy permettant aux données de chaque client d’être complètement isolées
  • Nous effectuons une sauvegarde complète de nos données quotidiennement,  stockée sur AWS S3 et accessible uniquement aux personnes habilitées

 

L’accès aux données Solr de Tech’4’Team est hautement sécurisé. Le serveur Tech’4’Team est hébergé par AWS, garantissant une sécurité extrêmement élevée. Ce serveur est situé sur un réseau privé, le rendant invisible depuis le web. Il est sécurisé par AWS qui empêche tout accès depuis l’extérieur. Seuls les administrateurs de Tech4Team ont accès sécurisé SSH à ce serveur pour troubleshooting.

Tech’4’Team, en sa qualité de sous-traitant s’engage conformément à la réglementation applicable à la protection des données à caractère personnel, à mettre en œuvre les mesures techniques et organisationnelles appropriées au regard de la nature des données et des risques présentés par le traitement, afin de préserver la confidentialité, la sécurité et l’intégrité des données à caractère personnel auxquelles il pourra avoir accès à l’occasion de la réalisation des prestations, et notamment empêcher toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation et/ou tout accès par des tiers non autorisés préalablement.

Afin de garantir un niveau de sécurité adapté, le sous-traitant mettra notamment en œuvre, en tenant compte des risques pour la sécurité des données à caractère personnel et pour la vie privée des personnes, selon les besoins, les mesures de sécurité appropriées telles que :

  • La pseudonymisation et le chiffrement des données à caractère personnel ; 
  • Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; 
  • Les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; 
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

 

2.3 Procédure de gestion des anomalies & vulnérabilité

Tech’4’Team a pris toutes précautions utiles pour préserver la sécurité des données à caractère personnel et a mis en place une procédure de gestion des anomalies et vulnérabilité conforme aux recommandations RGPD.

3 - CONFIDENTIALITE DES DONNEES

En vue d’assurer la confidentialité des données, TECH 4 TEAM s’engage à mettre en œuvre les dispositifs de sécurité physique et logique visés ci-dessus.

Par ces dispositifs, qui inclut la définition de procédures de gestion des risques en matière de sécurité informatique et de missions de sensibilisation de son personnel, TECH 4 TEAM veille à assurer la protection des accès aux Traitements et Données du Client tout au long de la relation contractuelle.

Il est rappelé qu’en sa qualité de sous-traitant TECH 4 TEAM s’engage à n’utiliser les Données, directement ou indirectement, en tout ou partie, que pour la stricte exécution des missions qui lui sont confiées par le Client.

TECH 4 TEAM s’engage à ne pas utiliser les Données à d’autres fins que celles convenues avec le Client et à ne pas les divulguer – par quelque moyen que ce soit et à quelle que fin que ce soit  –  à des tiers non autorisés, sauf autorisation préalable et écrite du Client.

Lorsque, dans le cadre des Services, TECH 4 TEAM accède, stocke, traite, collecte des Données personnelles un engagement de confidentialité spécifique pourra être sollicité par le Client.

4 - DISPONIBILITÉ

L’infrastructure des Systèmes d’Information de TECH 4 TEAM a été conçue pour assurer le niveau de Disponibilité et d’intégrité optimal des Services. Les engagements en termes de disponibilité de TECH 4 TEAM sont détaillés à l’article 7.1 des Conditions Générales de Services

5 - AUDITABILITE

5.1 Revues qualité internes

Les revues « qualité » réalisées sur les Services sont des éléments à part entière du cycle d’amélioration continue des Prestations délivrées par les équipes de TECH 4 TEAM. Ces revues ont en effet pour objet principal de vérifier l’adéquation des Services avec ce qui avait été prévu contractuellement. L’analyse des écarts doit ainsi permettre aux acteurs concernés de s’interroger sur leurs pratiques afin de, le cas échéant, les remettre en cause et en proposer de nouvelles plus adéquates.

5.2 Audits externes

Cf. supra Art. XIX

6 - SAUVEGARDE

TECH 4 TEAM assure la sauvegarde des Traitements et des Données. Les données nécessaires au fonctionnement des Services sont sauvegardées quotidiennement. Il s’agit des caches, ou encore des fichiers chargés par les Clients ou reçu par FTP ou API. Notre environnement nous permet d’avoir plusieurs sauvegardes et nous permettent d’assurer un redéploiement en quelques en heures en cas de problème serveur.

7 - HEBERGEMENT - EXPLOITATION

Les modalités d’hébergement et d’exploitation sont présentées aux articles 7.1 et 7.2 des Conditions Générales de Services.

8 - REVERSIBILITE

Cf. Supra XIII

9 - SUIVI

Un suivi opérationnel des engagements de sécurité est mis en œuvre par les Parties tout au long de la durée de la relation contractuelle. Un Correspondant sécurité pourra ainsi être désigné par les Parties pour traiter ces questions et notamment être contacté en cas d’anomalie touchant la sécurité ou la confidentialité des Données et Traitements.

No Comments

Sorry, the comment form is closed at this time.