Version au 12 Juin 2023
PROTECTION DES DONNEES PERSONNELLES – RESPECT DES DISPOSITIONS DU RGPD
Préambule
A – Le sous-traitant (ci-après « le ST ») est l’association ARCOLIB dont le siège est au 8 Place du Colombier à RENNES (35000), exploitant la plateforme Jungloo.fr.
B – Le responsable de traitement (ci-après « le RT ») est le client détenteur d’Identifiants permettant d’avoir accès à la Plateforme Jungloo.fr.
C – Le RT et le ST ont conclu un contrat de licence d’utilisation des logiciels accessibles via la Plateforme Jungloo.fr sous la forme de conditions générales SAAS ou de conditions générales d’utilisation (ci-après « le Contrat »).
La présente Annexe telle que définie ci-dessous vient compléter l’un ou l’autre des documents contractuels précités.
En considération de ce qui précède, il a été convenu ce qui suit :
Article 1 - Objet
La présente annexe « Protection des données personnelles – Respect des dispositions du RGPD » (ci-après « l’Annexe ») a pour objet de définir les conditions dans lesquelles le ST s’engage à effectuer pour le compte du RT les opérations de traitement de données à caractère personnel (ci-après « DCP ») définies ci-après et notamment liées à l’utilisation de la Plateforme Jungloo.fr. Ne sont donc pas concernées les autres données ou informations.
Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après « le RGPD »).
Article 2 - Description du traitement faisant l’objet de la sous-traitance
2.1 - Le ST est autorisé à traiter pour le compte du RT les données à caractère personnel nécessaires pour réaliser les prestations détaillées au Contrat.
2.2 - La nature des opérations réalisées sur les données est principalement la collecte, l’enregistrement, l’organisation, l’utilisation de ces données pour le compte du RT.
La ou les finalité(s) du traitement sont liées à la collecte et au classement des données bancaires et comptables, et à l’établissement des documents comptables et fiscaux des entreprises (sociétés ou entreprises individuelles) en utilisant les logiciels accessibles via la Plateforme Jungloo.fr.
2.3 - Les données à caractère personnel traitées et les catégories de personnes concernées sont détaillées ci-dessous :
- Catégories des personnes concernées : les Utilisateurs désignés par le RT, les interlocuteurs dans les entreprises bénéficiant des services de la Plateforme Jungloo.fr ;
- Catégories de DCP : Nom, prénom, fonction, adresse, numéro de téléphone, adresse email, données de connexion (IP, historique, etc.).
Article 3 – Obligation de collaboration entre les Parties
3.1 – Chacune des Parties s’engage à informer l’autre en cas de modification de la structure de ses outils, produits, applications ou services pouvant avoir un impact sur le respect du RGPD. A ce titre, chacune des Parties s’engage à respecter les principes de protection des données dès la conception et de protection des données par défaut.
3.2 – Les instructions ou toute autre information échangées entre les Parties et ayant un effet sur le respect de la protection des données personnelles doivent nécessairement faire l’objet d’un écrit. Les Parties reconnaissent comme ayant valeur d’écrit les emails envoyés aux adresses des interlocuteurs désignés ci-dessous par chacune des Parties.
3.3 – Chaque Partie désigne les interlocuteurs suivants pour l’exécution de l’Annexe :
- Pour le ST
- référent RGPD : Stéphane DARDENTE, s.dardente@jungloo.fr, Tél. 06 80 91 35 82
- Pour le RT
- DPO ou référent RGPD : la personne ayant accepté les présentes conditions.
En cas de modification de l’un ou l’autre des interlocuteurs, la Partie concernée informera l’autre Partie sans délai.
Article 4 - Obligations du ST
Le ST s'engage à :
1. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
2. traiter les données conformément aux instructions documentées transmises par écrit par le RT. Conformément à l’article 28 3 a) du RGPD, si le ST considère qu’une instruction constitue une violation du RGPD, il en informe immédiatement le RT.
De la même manière, le ST pourra alerter le RT en cas de nécessité de réaliser une analyse d’impact, en fonction de la qualité des informations transmises par le RT. Pour ce faire, le RT s’oblige à informer le ST en cas de collecte de données à caractère personnel dites « particulières » listées aux articles 9 et 10 du RGPD.
3. garantir la confidentialité des données à caractère personnel et à ce titre, veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. Ces personnes doivent avoir été formées en matière de protection des données à caractère personnel.
4. apporter son aide au RT, à première demande de sa part, pour la réalisation d’analyses d’impact relatives à la protection des données. Le ST pourra également apporter son aide au RT pour la réalisation de la consultation préalable de l’autorité de contrôle.
Dans ces deux cas, un devis préalable de la part du ST devra être accepté par le RT.
Article 5 - Obligations du RT
Le RT s’engage à :
1. actualiser le cas échéant et sans délai les informations communiquées au titre de l’article 2
2. documenter par écrit – email envoyé à l’interlocuteur privilégié et/ou au référent RGPD désigné(s) à l’article 3.3 ci-dessus – toutes instructions concernant le traitement des données par le ST
3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du ST et alerter par écrit le ST en cas de détection de pratiques non conformes de la part du ST
4. superviser le traitement, y compris réaliser les audits et les inspections auprès du ST dans les conditions de l’article 7.3.
Article 6 – Transfert de données
Si le ST est en charge du choix de l’hébergement, il informe le RT de la localisation des serveurs sur lesquels sont enregistrées les données.
Si le ST est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le RT de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public
Article 7 - Registre des catégories d’activités de traitement et Registre des traitements
7.1 - Chacune des Parties s’engage à procéder à la tenue et à la mise à jour régulière des registres suivants :
- pour le ST, le registre des catégories d’activités de traitement
- pour le RT, le registre des traitements.
7.2 - Le ST déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du RT comprenant :
· le nom et les coordonnées du RT pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données,
· les catégories de traitements effectués pour le compte du RT,
· le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l'existence de garanties appropriées.
7.3 - Le ST met à la disposition du RT la documentation nécessaire pour démontrer le respect de toutes ses obligations dans les conditions définies ci-après :
- en cas de demande d’audit de la part du RT, celui-ci s’engage à informer au préalable le ST au moins 8 jours ouvrés avant et, pendant une période ne perturbant pas l’activité du ST ;
- l’audit sera réalisé uniquement par un auditeur indépendant et concernera uniquement la vérification du respect du RGPD. Le cadre de l’audit devra être communiqué au préalable au ST ;
- le RT s’engage à transmettre les conclusions de l’audit au ST dès qu’il en a lui-même connaissance ;
- l’ensemble des coûts lié aux opérations d’audit est à la charge du RT.
Article 8 - Droit d’information des personnes concernées
Les Parties rappellent que le RT, au moment de la collecte des données, doit fournir aux personnes concernées par les opérations de traitement l’information relative aux traitements de données qu’il réalise. La formulation et le format de l’information doivent être convenus avec le RT avant la collecte de données.
Article 9 - Exercice des droits des personnes
Il est rappelé que le RT doit s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage), après avoir vérifié l’identité du demandeur.
Dans la mesure du possible, le ST s’engage à apporter son aide au RT, à première demande de celui-ci et après acceptation du devis éventuel par le RT.
Il est convenu entre les Parties :
- Le ST doit répondre, au nom et pour le compte du RT et dans les délais prévus par le RGPD aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la sous-traitance.
Article 10 - Notification des violations de données à caractère personnel
10.1 - Le ST notifie au RT toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par écrit. Cette notification est accompagnée de toute documentation utile afin de permettre au RT, si nécessaire et sous sa responsabilité, de notifier cette violation à l’autorité de contrôle compétente.
10.2 - La notification contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés,
- la description des mesures prises ou que le RT propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Article 11 – Sous-traitance
11.1 - Le ST est autorisé à faire appel à un autre sous-traitant (ci-après le « sous-traitant ultérieur ») pour mener les activités de traitement concernées par le Contrat.
En cas de recrutement de sous-traitants ultérieurs, le ST doit recueillir l’autorisation écrite, préalable et spécifique du RT.
11.2 - Le sous-traitant ultérieur est tenu de respecter les obligations de l’Annexe pour le compte et selon les instructions du RT. Il appartient au ST initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le ST initial demeure pleinement responsable devant le RT de l’exécution par l’autre sous-traitant de ses obligations.
Article 12 - Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, et ce, quel que soit le terme ou quel que soit le motif de résiliation, le ST s’engage à :
· renvoyer toutes les données à caractère personnel au RT ou
· renvoyer les données à caractère personnel au nouveau sous-traitant désigné par le RT
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du ST. Une fois détruites, le ST doit justifier par écrit de la destruction.
Dans ces deux cas, un devis préalable de la part du ST devra être accepté par le RT.
Article 13 – Responsabilité
De manière générale, les Parties sont considérées par la réglementation comme solidairement responsable en cas de non-respect des dispositions du RGPD.
Aussi, lorsqu’un dommage a été causé à une personne physique, chacune des Parties est tenue responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective. Celle qui a réparé totalement le dommage subi est en droit de réclamer auprès de l’autre Partie, la part de la réparation correspondant à sa part de responsabilité dans le dommage.
De la même manière, en cas de condamnation d’une amende administrative par la CNIL, la Partie ayant réglé l’amende en totalité est en droit de réclamer à son cocontractant le remboursement de sa part en considérant son ou ses non-respect(s) de la réglementation.