Accord de protection des données (DPA)
Introduction
L’Accord de protection des données (ci-après “Accord”) vise à régir l’utilisation des données à caractère personnel du Client, qui agit en tant que responsable du traitement (ci-après le “Client”), par Flexteam, qui agit en tant que sous-traitant (ci-après le “Sous-traitant”) dans le cadre du contrat (ci-après le “Contrat”).
Déclaration
Le Sous-traitant déclare et atteste respecter l’intégralité des dispositions des règles applicables en matière de protection des données qui comprend le Règlement Général pour la Protection des Données (ci-après le “RGPD”) et la loi Informatique et Libertés.
Le Sous-traitant déclare présenter toutes les garanties suffisantes pour répondre aux exigences des règles applicables en matière de protection des données et, plus particulièrement, pour garantir la confidentialité et la protection des données du Client.
Instructions
Le Sous-traitant déclare et s’engage à n’utiliser les données à caractère personnel du Client que sur instructions documentées de ce dernier dans le Contrat.
Le Client s’engage à informer le Sous-traitant de toute modification des instructions qui pourraient être menées quant à l’utilisation de ses données à caractère personnel.
Le Sous-traitant doit notifier au Client, par écrit et dans les plus brefs délais, si les instructions documentées de ce dernier constituent une violation des règles applicables en matière de protection des données.
Confidentialité
Le Sous-traitant déclare et atteste que l’intégralité de ses collaborateurs amenés à traiter les données à caractère personnel du Client sont engagés par une clause de confidentialité ou par tout autre acte juridique permettant de garantir la confidentialité des données à caractère personnel du Client.
Le Sous-traitant s’engage à former régulièrement ses collaborateurs sur les règles applicables en matière de protection des données.
Sécurité
Le Sous-traitant atteste et s’engage à garantir la sécurité des données à caractère personnel du Client et à mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires pour prévenir tout risque de violation de données.
Violation de données
Le Sous-traitant s’engage à notifier au Client, dans les meilleurs délais après en avoir pris connaissance, toute violation de données qui serait susceptible de concerner les données à caractère personnel du Client.
La notification doit préciser toutes les informations nécessaires au traitement de la violation de données par le Client décrites à l’article 28 du RGPD.
En cas de violation de données, le Sous-traitant s’engage à prendre toutes les mesures nécessaires pour remédier, et diminuer l’impact de la violation sur les données à caractère personnel du Client.
Sauf accord exprès, préalable et écrit du Client, le Sous-traitant n’est pas autorisé à effectuer les notifications de violation de données à l’autorité de contrôle et aux personnes concernées par les traitements réalisés dans le cadre du Contrat.
Aide et assistance en matière de sécurité
Le Sous-traitant communique au Client toutes les informations nécessaires et requises sur les mesures de sécurité techniques et organisationnelles à mettre en œuvre dans le cadre du Contrat pour garantir la sécurité de ses données à caractère personnel.
Le Sous-traitant communique au Client, sur demande écrite, toutes les informations nécessaires et requises pour assurer la réalisation d’une analyse d’impact (“PIA”).
Le Sous-traitant n’est en revanche pas tenu d’assurer ou d’auditer la sécurité du Client ou encore de réaliser des analyses d’impact (“PIA”) à la place et pour le compte du Client. Toute demande complémentaire à la communication d’informations peut faire l’objet d’un refus et, éventuellement, d’une prestation complémentaire tarifée.
Aide et assistance en matière de droits des personnes concernées
Le Sous-traitant communique au Client, sur demande écrite, toutes les informations nécessaires et requises visant à ce que le Client puisse s’acquitter de son obligation de donner suite aux demandes des personnes concernées.
Le Sous-traitant exécute, sur demande écrite du Client, les actions techniques à entreprendre pour que le Client puisse s’acquitter de son obligation de donner suite aux demandes des personnes concernées.
Le Sous-traitant n’est en revanche pas tenu de gérer les demandes de droits des personnes à la place et pour le compte du Client. Toute demande complémentaire visant à assurer une telle gestion peut faire l’objet d’un refus et, éventuellement, d’une prestation complémentaire tarifée.
Sous-traitants ultérieurs
Le Client accepte que le Sous-traitant recrute des Sous-traitants ultérieurs dans le cadre exclusif de l’exécution du Contrat à condition que le Sous-traitant l’informe de tout changement concernant ces Sous-traitants ultérieurs afin que le Client puisse émettre des objections à ce sujet.
Le Sous-traitant s’engage à ne recruter que des Sous-traitants ultérieurs qui présentent les garanties nécessaires et suffisantes pour assurer la sécurité et la confidentialité des données à caractère du Client.
Le contrat conclu entre le Sous-traitant et le Sous-traitant ultérieur doit contenir des obligations similaires à celles prévues dans le présent Accord.
Le Client peut émettre des objections par lettre recommandée avec accusé de réception i) si le Sous-traitant ultérieur est un de ses concurrents, ii) si le client et le Sous-traitant ultérieur sont dans une situation de précontentieux ou de contentieux, et iii) si le Sous-traitant ultérieur a fait l’objet d’une condamnation par une autorité de contrôle en matière de protection des données dans l’année de son recrutement par le Sous-traitant. Chacune de ses situations doit être démontrée.
À défaut d’engagement par le Sous-traitant de modifier le Sous-traitant ultérieur dans un délai trois mois à compter de la réception de l’objection, le Client dispose de la possibilité de résilier le Contrat sous réserve d’un préavis de six (6) mois et sans indemnité.
En tout état de cause, le Sous-traitant demeure responsable des actes du Sous-traitant ultérieur dans le cadre du Contrat.
Sort des données à caractère personnel
Le Client informe le Sous-traitant, par écrit et au plus tard un mois avant la fin du Contrat, de son choix (option 1) de lui restituer les données à caractère personnel puis de les supprimer ainsi que toutes les copies existantes ou, (option 2) de supprimer directement les données à caractère personnel ainsi que toutes les copies existantes, ou (option 3) de transférer les données à caractère personnel vers un nouveau prestataire puis de les supprimer ainsi que toutes les copies existantes. Sauf disposition contraire dans le Contrat, l’option 3 doit faire l’objet d’un devis de la part du Sous-traitant.
À défaut d’information par le Client de son choix dans le délai imparti, le Sous-traitant se réserve la possibilité de supprimer directement les données ainsi que toutes les copies (option 2).
Le Sous-traitant atteste au Client de la suppression effective des données à caractère personnel et de toutes les copies par écrit simple.
Audits
Le Client dispose du droit de réaliser un audit sous forme de questionnaire écrit une fois par an pour vérifier le respect du présent Accord. Le questionnaire a la force d’un engagement sur l’honneur qui engage le Sous-traitant.
Le questionnaire peut être communiqué sous n’importe quelle forme au Sous-traitant qui s’engage à y répondre dans un délai maximum de deux mois à compter de sa réception.
Le Client dispose également du droit de réaliser un audit sur site, à ses frais, une fois par an uniquement en cas de violation de données ou de manquement aux règles applicables en matière de protection des données et au présent Accord, notamment établi par le questionnaire écrit.
Un audit sur site peut être mené soit par le Client soit par un tiers indépendant désigné par le Client et doit être notifié par écrit au Sous-traitant au minimum trente (30) jours avant la réalisation de l’audit.
Le Sous-traitant dispose du droit de refuser le choix du tiers indépendant si ce dernier est i) un concurrent ou ii) en précontentieux ou contentieux avec lui. Dans ce cas, le Client s’engage à choisir un nouveau tiers indépendant pour réaliser l’audit.
Le Sous-traitant peut refuser l’accès à certaines zones pour des raisons de confidentialité ou de sécurité. Dans ce cas, le Sous-traitant effectue l’audit dans ces zones à ses frais et communique les résultats au Client.
En cas d’écart constaté dans le cadre de l’audit, le Sous-traitant s’engage à mettre en œuvre, sans délai, les mesures nécessaires pour être en conformité avec le présent Accord.
Transferts de données hors de l’Union européenne
Le Sous-traitant atteste et s’engage à faire son nécessaire pour ne pas transférer de données à caractère personnel du Client en dehors de l’Union européenne ou ne pas recruter de Sous-traitant ultérieur situé en dehors de l’Union européenne.
Néanmoins, dans le cas où de tels transferts s’avéreraient nécessaires dans le cadre du Contrat, le Sous-traitant atteste et déclare mettre en oeuvre tous les mécanismes requis pour encadrer ces transferts comme, en particulier, conclure des règles d’entreprise contraignantes (“BCR”) ou des clauses types de protection des données adoptées par la Commission européenne.
Coopération avec l’autorité de contrôle
Lorsque cela concerne les traitements mis en œuvre dans le cadre du Contrat, le Sous-traitant s’engage à fournir, sur demande, l’intégralité des informations nécessaires au Client pour qu’il puisse coopérer avec l’autorité de contrôle compétente.
Nullité
En cas de nullité du Contrat, quelle qu’en soit la cause, le Client dispose d’un délai d’un mois à compter du prononcé de la nullité pour communiquer au Sous-traitant, par écrit, sa décision quant au sort de ses données, conformément à l’article 10 du présent Accord.
Contact
Le Client et le Sous-traitant désignent chacun un interlocuteur qui est en charge du présent Accord et qui est le destinataire des différentes notifications et communications devant intervenir dans le cadre de l’Accord.
Si un délégué à la protection des données (“DPO”) a été nommé par le Client et/ou le Sous-traitant, l’interlocuteur sera nécessairement le délégué à la protection des données.
Révision
Le Client se réserve la possibilité de modifier le présent Accord en cas d’évolution des règles applicables en matière de protection des données qui auraient pour effet de modifier l’une de ses dispositions.
Loi applicable
Nonobstant toute disposition contraire prévue dans le Contrat, le présent Accord est soumis au droit français. Tout litige relatif à l’exécution du présent Accord est de la compétence exclusive des tribunaux du ressort de la Cour d’appel du lieu de domiciliation du Sous-traitant.
Publié le 30/05/2022
Certifiée conforme par Dipeeo ®