Accord de traitement des données en conformité avec l'article 28 du Règlement Général sur la Protection des Données (RGPD)

Entre

Client - le Responsable du traitement - désigné ci-après le "Client" ou l'Abonné au service,

et

Transfon Ltd - le Sous-traitant - désigné ci-après le "Fournisseur".

1. Objet et durée de l'Accord ou du Contrat

L'objet et la durée de l'Accord ou du Contrat seront déterminés entièrement selon les informations fournies dans la relation contractuelle respective. Le Fournisseur traitera les données personnelles pour le Client conformément à l'art. 4, no 2 et à l'art. 28 du RGPD sur la base de cet Accord.

2. Objet, nature et finalité de la collecte, du traitement ou de l'utilisation des données

L'objet, la nature et la finalité de toute collecte, traitement ou utilisation éventuels de données personnelles, la nature des données et les personnes concernées seront décrits au Fournisseur par le Client conformément à l'Annexe 1 de ce document, telle que complétée par le Client, dans la mesure où cela n'est pas régi par les relations contractuelles décrites dans le contenu de la Section 1 de ce document.

La fourniture du traitement des données convenu contractuellement aura lieu exclusivement dans un État membre de l'Union européenne ou dans un autre État membre partie à l'Accord sur l'Espace économique européen. Tout transfert vers un pays tiers nécessitera le consentement préalable du Client et ne pourra avoir lieu que si les conditions spéciales définies aux articles 44 et suivants du RGPD sont remplies.

3. Mesures techniques et organisationnelles conformes à l'art. 32 du RGPD (art. 28, paragraphe 3, phrase 2, alinéa c du RGPD)

(1) Avant le début du traitement des données, le Fournisseur documentera l'exécution des mesures techniques et organisationnelles nécessaires définies préalablement à l'attribution de la Commande ou du Contrat, spécifiquement en ce qui concerne l'exécution détaillée de l'Accord ou du Contrat, et présentera ces mesures documentées au Client pour inspection (voir Annexe 2 de ce document). À la réception de ces documents par le Client, les mesures documentées deviennent la base du contrat. Dans la mesure où l'inspection/l'audit par le Client montre la nécessité de modifications, ces modifications seront mises en œuvre d'un commun accord.

(2) Le Fournisseur doit garantir la sécurité des données conformément à l'art. 28, par. 3, alinéa 2, lettre c, et à l'art. 32 du RGPD, en particulier en relation avec l'art. 5, par. 1 et par. 2 du RGPD. Les mesures à prendre sont des mesures de sécurité des données et des mesures garantissant un niveau de protection approprié au risque en matière de confidentialité, d'intégrité, de disponibilité et de résilience des systèmes. L'état de la technologie, les coûts de mise en œuvre, la nature, la portée et les finalités du traitement, ainsi que la probabilité d'occurrence et la gravité du risque pour les droits et libertés des personnes physiques dans le cadre de l'art. 32, par. 1 du RGPD doivent être pris en compte.

(3) Les mesures techniques et organisationnelles seront soumises aux progrès techniques et au développement ultérieur. À cet égard, le Fournisseur est autorisé à mettre en œuvre des mesures alternatives adéquates. Le niveau de sécurité des mesures spécifiées ne doit pas être compromis. Les changements substantiels doivent être documentés.

4. Correction, restriction et suppression des données

(1) Le Fournisseur n'est pas autorisé, de sa propre initiative, à supprimer ou restreindre le traitement des données traitées pour le compte de tiers. Dans la mesure où une personne concernée contacte directement le Fournisseur à cet égard, le Fournisseur transmettra immédiatement cette demande au Client sans délai.

(2) Dans la mesure où la portée des services le prévoit, le Fournisseur doit, sans délai indu, garantir les éléments suivants conformément aux instructions documentées du Client : une politique de suppression, le "droit à l'oubli", la correction des données, la portabilité des données et la divulgation des données.

5. Assurance qualité et autres obligations du Fournisseur

En plus du respect des dispositions du présent accord, le Fournisseur doit se conformer aux obligations légales conformément aux articles 28 à 33 du RGPD ; à cet égard, le Fournisseur doit notamment veiller à respecter les exigences suivantes :

5.1 Confidentialité conformément à l'art. 28, par. 3, alinéa 2, lettre b, à l'art. 29 et à l'art. 32, par. 4 du RGPD. Le Fournisseur confie uniquement aux employés chargés du traitement des données défini dans le présent accord, qui ont été tenus à la confidentialité et ont préalablement été familiarisés avec les dispositions de protection des données pertinentes à leur travail. Le Fournisseur et toute personne agissant sous son autorité ayant accès à des données personnelles ne peuvent traiter ces données que conformément aux instructions du Client (qui incluent les pouvoirs accordés dans le présent accord), sauf disposition contraire de la loi.

5.2 La mise en œuvre et le respect de toutes les mesures techniques et organisationnelles nécessaires pour cet accord conformément à l'art. 28, paragraphe 3, phrase 2, alinéa c, art. 32 du RGPD sont spécifiés dans l'annexe 2 de cet accord.

5.3 Le Fournisseur et le Client doivent, sur demande, coopérer avec l'autorité de contrôle dans l'exercice de leurs fonctions.

5.4 Le Client doit être informé immédiatement de toute inspection et mesure menée par l'autorité de contrôle, dans la mesure où elles concernent cet accord ou contrat. Cela s'applique également dans la mesure où le Fournisseur fait l'objet d'une enquête ou est partie à une enquête menée par une autorité compétente en lien avec des infractions à toute loi civile ou pénale, règle administrative ou réglementation concernant le traitement des données personnelles en relation avec le traitement de cet accord ou contrat.

5.5 Dans la mesure où le Client fait l'objet d'une inspection par l'autorité de contrôle, d'une procédure administrative ou pénale sommaire, d'une demande de responsabilité d'une personne concernée ou d'un tiers, ou de toute autre réclamation en lien avec le traitement de l'accord ou du contrat par le Fournisseur, le Fournisseur fera tout son possible pour soutenir le Client autant que possible.

5.6 Le Fournisseur doit surveiller régulièrement les processus internes ainsi que les mesures techniques et organisationnelles pour garantir que le traitement dans son domaine de responsabilité est effectué conformément aux exigences de la législation applicable en matière de protection des données et que les droits des personnes concernées sont protégés.

5.7 Le Client peut demander une documentation pour vérifier l'exécution des mesures techniques et organisationnelles prises par le Fournisseur conformément à la section 3 de cet accord.

6. Sous-traitance

Aux fins de cet accord, les relations de sous-traitance sont définies comme les services qui se rapportent directement à la fourniture de la mission principale. Cela n'inclut pas les services accessoires que le Fournisseur utilise, par exemple, les services de télécommunication ; les services postaux/ de transport ; les services de maintenance et de support utilisateur ; ainsi que d'autres mesures pour garantir la confidentialité, la disponibilité, l'intégrité et la résilience du matériel et des logiciels des systèmes de traitement des données. Cependant, le Fournisseur est tenu de conclure des accords contractuels appropriés et légalement contraignants et de mettre en œuvre des mesures d'inspection appropriées pour garantir la protection des données et la sécurité des données du Client, même dans le cas de services accessoires externalisés.

7. Droits d'inspection du Client

(1) Le Client a le droit de procéder à des inspections en consultation avec le Fournisseur ou de les faire effectuer par des inspecteurs désignés dans des cas individuels. Le Client a le droit de vérifier le respect de cet Accord par le Fournisseur dans ses activités commerciales au moyen d'inspections surprises, qui seront généralement annoncées à temps.

(2) Le Fournisseur doit s'assurer que le Client peut vérifier le respect par le Fournisseur des obligations en vertu de l'Article 28 du RGPD. Le Fournisseur est tenu de fournir au Client les informations nécessaires sur demande et en particulier de fournir la preuve de la mise en œuvre des mesures techniques et organisationnelles.

(3) La preuve de telles mesures qui ne concernent pas seulement cet Accord ou Contrat spécifique peut être fournie par le respect de codes de conduite approuvés conformément à l'Article 40 du RGPD ; la certification selon une procédure de certification approuvée conformément à l'Article 42 du RGPD ; les certificats d'auditeurs actuels, les rapports ou extraits de rapports fournis par des organismes indépendants (par exemple, un auditeur, un délégué à la protection des données, un département de sécurité informatique, un auditeur de la protection des données, un auditeur qualité) ; ou une certification appropriée par la sécurité informatique ou l'audit de la protection des données.

(4) Le Fournisseur peut faire valoir une demande de rémunération pour permettre les inspections du Client.

8. Communication en cas d'infraction par le Fournisseur

(1) Le Fournisseur doit aider le Client à respecter les obligations concernant la sécurité des données personnelles, les exigences de notification des violations de données, les évaluations d'impact de la protection des données et les consultations préalables mentionnées aux Articles 32 à 36 du RGPD. Celles-ci incluent :

8.1.1. Garantir un niveau adéquat de protection avec les mesures techniques et organisationnelles tenant compte des circonstances et des finalités du traitement des données, de la probabilité prévue et de la gravité des violations potentielles de la loi en raison de vulnérabilités de sécurité, et de mesures permettant de détecter immédiatement les violations pertinentes de la loi.

8.1.2. L'obligation de signaler immédiatement les violations des données personnelles au Client.

8.1.3. Le devoir d'assister le Client en ce qui concerne l'obligation du Client de fournir des informations aux personnes concernées et, dans ce contexte, d'informer immédiatement le Client de ses propres obligations.

8.1.4. Aider le Client dans son évaluation de l'impact sur la protection des données.

8.1.5. Aider le Client en ce qui concerne la consultation préalable avec l'autorité de contrôle.

(2) Le Fournisseur peut réclamer une indemnisation pour les services de support qui ne sont pas inclus dans la description des services et qui ne sont pas imputables à des défaillances du côté du Fournisseur.

9. Autorité du Client pour donner des instructions

(1) Le Client doit immédiatement confirmer les instructions orales (au minimum sous forme de texte).

(2) Le Fournisseur informera immédiatement le Client s'il estime qu'une instruction viole les réglementations de protection des données. Le Fournisseur sera alors en droit de suspendre l'exécution des instructions pertinentes jusqu'à ce que le Client confirme ou modifie ces instructions.

10. Suppression et restitution des données personnelles

(1) Des copies ou des duplicatas des données ne seront pas créés sans la connaissance du Client, à l'exception des copies de sauvegarde dans la mesure où elles sont nécessaires pour garantir le traitement correct des données ainsi que les données nécessaires pour respecter les obligations légales de conservation.

(2) Après la conclusion du travail convenu, ou plus tôt à la demande du Client, au plus tard à la résiliation du Contrat de Service, le Fournisseur soumettra au Client ou - sous réserve d'un consentement préalable - détruira tous les documents, résultats de traitement et d'utilisation, et ensembles de données liés au contrat qui sont entrés en sa possession conformément à la loi sur la protection des données. Il en va de même pour tous les matériaux d'essai et de rebut connectés. Sur demande, le Fournisseur fournira au Client des informations sur la nature et le moment de la suppression des données.

(3) Le Fournisseur conservera la documentation prouvant que les données ont été traitées de manière ordonnée et contractuelle après la période contractuelle respective, conformément aux périodes de conservation respectives au-delà de la fin du contrat. En alternative, le Fournisseur peut être libéré de cette obligation en transférant ladite documentation au Client à la résiliation du contrat.

11. Sous-traitance

(1) UniConsent ne divulguera les Données Personnelles qu'aux sous-traitants dans le but spécifique d'effectuer le Service. UniConsent ne vend ni ne divulgue les Données Personnelles à des tiers à des fins commerciales.

(2) UniConsent tiendra une liste des sous-traitants à l'adresse https://www.uniconsent.com/dpa-subprocessors et ajoutera les noms des nouveaux sous-traitants ou de ceux qui les remplacent à la liste au moins trente (30) jours avant la date à laquelle ces sous-traitants commenceront le traitement des Données Personnelles. Si le Client s'oppose à un nouveau sous-traitant ou à un remplaçant pour des raisons valables liées à la protection des données, il devra en informer UniConsent par écrit dans les dix (10) jours suivant la notification, et les parties chercheront à résoudre la question de bonne foi.

(3) UniConsent veillera à ce que tout sous-traitant qu'il engage pour fournir une partie du Service en son nom en relation avec cette DPA le fasse uniquement sur la base d'un contrat écrit qui impose à ce sous-traitant des termes (c'est-à-dire des obligations de protection des données) qui protègent au moins autant les Données Personnelles que celles imposées à UniConsent dans cette DPA.

12. Autres accords

12.1. Remboursement

Aucun frais n'est requis pour ce contrat.

Si le Client a besoin d'aide pour répondre aux demandes des Personnes Concernées telles que décrites à la section 4 de cet Accord, le Client devra rembourser le Fournisseur pour une telle assistance.

Si le Client exerce les droits de surveillance tels que décrits à la section 7 de cet Accord, le montant de la rémunération à convenir sera basé sur le taux horaire fixe de l'employé du Fournisseur qui est chargé de superviser l'auditeur.

Si le Client donne des instructions au Fournisseur comme décrit à la section 9 de cet Accord, le Client devra payer tous les coûts résultant de ces instructions.

12.2. Durée du contrat

Cet Accord dépend de l'existence d'une relation contractuelle principale telle que décrite à la section 1 de ce document. L'annulation ou toute autre résiliation de la relation contractuelle principale telle que décrite à la section 1 invalidera simultanément cet Accord.

Le droit à un préavis isolé extraordinaire d'annulation demeure inchangé, de même que les droits statutaires de rétractation.

Commencez à rendre votre site web et votre application conformes au RGPD de l'UE, au CPRA des États-Unis, au PIPEDA de la CA, etc.

S'inscrire