Accord Relatif aux Traitements de Données à Caractère Personnel

Objet Traitement des données Durée du présent Accord Obligations du sous-traitant Obligations du Responsable Sous-traitance Mesures de sécurité Responsabilités et garanties Audit et contrôles Gestion des demandes Portabilité des données Gestion des demandes de tiers Points de contact

Dernière mise à jour : novembre 2024

Le présent accord se rattache et fait partie intégrante du Contrat en vigueur entre d’une part, JOTELULU France, SAS établie à 81 Rue Réaumur, 75002 Paris (France), immatriculée au Registre du commerce et des sociétés sous le numéro 978 331 460 (ci-après le << SOUS-TRAITANT >> ou << JOTELULU >>), et d’autre part toute entité disposant d’un Compte Client lui permettant d’utiliser les Services de JOTELULU (ci-après le <> ou le « RESPONSABLE DU TRAITEMENT »).

  1. Definitions

Attendu que, dans le cadre de la fourniture de ses Services, le SOUS-TRAITANT a besoin de traiter des données à caractère personnel qui lui sont fournies par le CLIENT (ci-après les « Données à caractère personnel »).

Considérant qu’afin de réglementer ces traitements, les deux parties conviennent de conclure le présent accord, qui sera régi par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, (ci-après, le « GDPR »), ses règlements d’application et, en particulier, par ce qui suit.

  1. Objet

Conformément à l’article 28 du Règlement (UE) 2016/679 du 27 avril 2016 du Parlement européen et du Conseil sur la protection des personnes physiques à l’égard du traitement de leurs données personnelles et à la libre circulation de ces dernières, le présent accord a pour objet de définir les conditions dans lesquelles JOTELULU est autorisé en qualité de sous-traitant à traiter pour le compte du CLIENT des données à caractère personnel dans le cadre de la fourniture des Services tels que prévus au Contrat.

En cas de contradiction entre le présent accord et les autres documents constituant le Contrat, le présent document prévaut.

Les traitements de données à caractère personnel auxquels procède JOTELULU en qualité de responsable de traitement n’entrent pas dans le champ d’application du présent accord ; lesdits traitements étant opérés dans les conditions décrites dans la « Politique de confidentialité de JOTELULU ».

Lorsque les stipulations de la présente convention contiennent des termes définis par le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le “RGPD”), ces termes ont le sens qui leur est donné par le RGPD. Les autres termes commençant par une majuscule ont la signification définie par ailleurs au Contrat.

  1. Traitements de données à caractère personnel

Le SOUS-TRAITANT est autorisé à traiter, pour le compte du CLIENT, des données à caractère personnel dans la mesure nécessaire à l’exécution des Services.

Le traitement est constitué exclusivement des traitements de données à caractère personnel décrits au Contrat notamment dans les Conditions particulières de Services applicables, et de tout autre traitement convenu par écrit entre les parties.

  1. Durée du présent Accord

Le présent Accord sera valide pendant toute la durée de la prestation des Services. Les Parties conviennent néanmoins que les dispositions du présent Accord, expressément ou implicitement destinées à rester valides après la résiliation ou l’expiration du présent Accord ou des Services, resteront valides et applicables aux Parties.

L’obligation de confidentialité entre les Parties restera applicable au-delà de l’expiration du présent Contrat.

  1. Obligations du SOUS-TRAITANT

LE SOUS-TRAITANT s’engage à :

A. Utiliser les données à caractère personnel objet du présent Accord, uniquement dans le cadre de la fourniture des Services, à l’exclusion de toute utilisation desdites données à son profit ou au profit d’un tiers, notamment à des fins commerciales, marketing, de profilage et de datamining.

B. Traiter les données uniquement conformément aux instructions documentées du CLIENT telles que prévues au Contrat ou formulées par écrit. Dans le cas où le SOUS-TRAITANT estimerait que l’une des instructions transgresse le RGPD ou toute autre disposition en matière de protection des données de l’Union européenne ou des États membres, il informera le CLIENT au plus vite.

C. Tenir, par écrit, un registre de toutes les catégories d’activités de traitement effectuées pour le compte du CLIENT, qui devra contenir les mentions obligatoires prévues à l’article 30 2. du RGPD.

D. Ne communiquer aucune donnée à des tiers, excepté avec l’autorisation du CLIENT tel que prévu au Contrat, ou lorsque cela est requis en application de la réglementation en vigueur, et à traiter, conformément à l’article « Gestion des demandes de tiers » ci-après, les demandes reçues de tiers visant à obtenir communication de données à caractère personnel objet du présent accord. Si le SOUS-TRAITANT doit transférer des données personnelles à un pays tiers ou une organisation internationale, en vertu du Droit de l’Union ou des États membres qui lui serait applicable, il devra préalablement informer le CLIENT de cette obligation légale, excepté si le Droit l’interdit pour des motifs importants d’intérêt public.

E. S’assurer que les personnes autorisées à traiter des données à caractère personnel s’engagent de façon expresse et par écrit à respecter la confidentialité ainsi qu’à appliquer les mesures de sécurité pertinentes, dont elles seront informées de manière appropriée.

F. Garder à disposition du CLIENT la documentation justifiant l’application de l’obligation établie dans le paragraphe précédent.

G. Assurer la formation nécessaire en matière de protection des données à caractère personnel des personnes autorisées à traiter des données à caractère personnel.

H. Aider le CLIENT par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits dans les conditions prévues à l’article « Gestion des demandes d’exercice de droits » ci-dessous.

I. Aider le CLIENT à garantir le respect des obligations prévues aux articles 33 et 34 du RGPD, compte tenu de la nature du traitement et des informations à sa disposition, et notamment notifier au CLIENT, dans les conditions prévues à l’article « Violations de données à caractère personnel » toutes les violations des données à caractère personnel objet du présent Accord et dont il aurait connaissance.

J. Apporter un soutien au CLIENT lors de la réalisation des analyses d’impact relatives à la protection des données prévues à l’article 35 du RGPD, le cas échéant.

K. Apporter un soutien au CLIENT lors de la réalisation des consultations préalables de l’autorité de contrôle prévues à l’article 36 du RGPD, le cas échéant.

L. Mettre à disposition du CLIENT toutes les informations nécessaires pour démontrer l’exécution des obligations prévues à l’article 28 du RGPD ainsi que pour permettre la réalisation d’audits (y compris des inspections), par le CLIENT ou par tout autre auditeur mandaté par ce dernier, et contribuer à ces audits. Les audits sont réalisés dans les conditions prévues à l’article 6 ci-dessous.

M. Aider le CLIENT à garantir le respect des obligations prévues à l’article 32 du RGPD, mettre en place et maintenir les mesures techniques et organisationnelles décrites dans le document « Infrastructure et sécurité », afin de garantir un niveau de sécurité des données à caractère personnel objet du présent accord approprié conformément audit article 32, et informer le CLIENT de toute modification desdites mesures susceptible d’affecter la protection desdites données.

N. En fin de Contrat quelle qu’en soit la cause, restituer au CLIENT sur demande et dans les conditions prévues à l’article « Portabilité des données » ci-dessous, les données à caractère personnel objet du présent accord, et supprimer toute copie desdites données encore en sa possession dans un délai maximum de 60 jours ouvrés ; sous réserve des copies qui pourraient être conservées sur le fondement d’un intérêt légitime ou d’une obligation légale.

Les sous-traitants ultérieurs sont listés sur https://jotelulu.com/fr-fr/sous-traitants/

  1. Obligations du Responsable du traitement

Le CLIENT est réputé être le RESPONSABLE DU TRAITEMENT objet du présent accord, et s’engage à :

A. Afin de permettre la fourniture des conditions de service, mettre à la disposition du SOUS-TRAITANT toutes les données à caractère personnel et/ou les informations nécessaires au bon déroulement des activités de traitement.

B. Remettre au SOUS-TRAITANT les données auxquelles se réfère la clause II du présent document.

C. Réaliser une analyse de l’impact sur la protection des données personnelles des opérations de traitement que le SOUS-TRAITANT doit réaliser.

D. Réaliser les consultations préalables pertinentes.

E. Veiller à ce que le SOUS-TRAITANT respecte le RGPD avant et pendant le traitement.

F. Superviser le traitement, y compris la réalisation des inspections et des audits.

G. Informer les personnes concernées des conditions de traitement de leurs données à caractère personnel et des conditions d’exercice de leurs droits conformément à la réglementation en vigueur.

H. S’il n’est pas RESPONSABLE DU TRAITEMENT des données objet du présent Accord et/ou s’il existe des tiers responsable(s) conjoint(s), convenir des conditions dudit traitement avec le(s) tiers responsable(s), conformément à la réglementation en vigueur.

  1. Sous-traitance

Le SOUS-TRAITANT dispose de l’autorisation générale du CLIENT de confier à des tiers (ci-après les « sous-traitants ultérieurs ») les traitements de Données à caractère personnel objet du présent accord.

Le SOUS-TRAITANT impose aux sous-traitants ultérieurs par contrat (ou par un autre acte juridique au titre du droit de l’Union européenne ou du droit d’un état membre), les mêmes obligations en matière de protection de données à caractère personnel que celles fixées dans le présent Accord, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.

Dans l’hypothèse où il aurait recours à un nouveau sous-traitant ultérieur au cours du Contrat, le SOUS-TRAITANT notifie le CLIENT par écrit avec un délai de prévenance raisonnable (si possible au minimum quinze (15) jours calendaires) en précisant : (a) l’identité du sous-traitant ultérieur, (b) les traitements de Données à caractère personnel que le SOUS-TRAITANT souhaite lui confier, et (c) le(s) lieu(x) à partir duquel ou desquels les traitements seront réalisés.

Le CLIENT s’engage à notifier au SOUS-TRAITANT par écrit dans un délai de quinze (15) jours suivant envoi de la notification précédente, toute objection éventuelle à l’intervention du nouveau sous-traitant ultérieur, en précisant les raisons de l’objection. Dans ce cas, les Parties se réunissent dans les meilleurs délais afin d’essayer de convenir d’une solution acceptable pour chacune d’elles. A défaut d’accord, les Services concernés peuvent être résiliés par l’une ou l’autre des Parties dans un délai raisonnable permettant au CLIENT d’assurer la réversibilité de ses Services.

Les sous-traitants ultérieurs peuvent être situés en dehors de l’UE/EEE. Dans le cas où un sous-traitant ultérieur serait localisé dans une juridiction extérieure à l’UE/EEE ne figurant pas sur la liste approuvée par la Commission européenne des pays tiers ayant un niveau de protection des données à caractère personnel adéquat tel que prévu à l’article 45 du RGPD, des garanties appropriées comme des clauses types de protection des données adoptées par la Commission conformément à l’article 46 du RGPD, doivent avoir été mises en place par le SOUS-TRAITANT avant tout transfert de données de manière à ce que le niveau de protection des personnes physiques garanti par le RGPD ne soit pas compromis. La liste des sous-traitants ultérieurs disponible sur le Site internet de JOTELULU précise la localisation de chacun des sous-traitants ultérieurs, ainsi que les garanties appropriées mises en place si nécessaire. A la demande du CLIENT, le SOUS-TRAITANT lui fournit des informations additionnelles utiles sur les garanties appropriées ainsi mises en place, notamment une copie des clauses types de protection des données applicables le cas échéant.

Le SOUS-TRAITANT demeure pleinement responsable, à l’égard du CLIENT, de l’exécution des obligations de ses sous-traitants ultérieurs.

  1. Mesures de sécurité et Violations de données à caractère personnel

Le SOUS-TRAITANT met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel qu’il traite pour le compte du CLIENT contre les accès et traitement non autorisés ou illicites, et contre la perte, la destruction, l’endommagement, le vol, l’altération ou la divulgation accidentels, conformément au présent accord. Ces mesures permettent d’assurer un niveau de sécurité adéquat compte tenu du risque et sont adoptées en tenant compte de l’état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que de la probabilité et de la gravité variables des risques pour les droits et les libertés des personnes physiques. À cet égard, le SOUS-TRAITANT peut mettre à jour ces mesures techniques et organisationnelles, pour autant que ces modifications ne diminuent pas le niveau général de sécurité.

Les violations de données à caractère personnel objet du présent accord et dont le SOUS-TRAITANT a connaissance doivent être notifiées au CLIENT par le SOUS-TRAITANT sans retard injustifié, et dans tous les cas dans un délai maximum de 48 heures.

Cette notification doit être réalisée par courriel à l’adresse renseignée par le CLIENT dans son Compte Client.

La notification doit au moins inclure les informations ci-dessous :

a. Description de la nature de la violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation, ainsi que les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés.

b. Nom et coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues.

c. Description des conséquences probables de la violation.

d. Description des mesures prises ou que le SOUS-TRAITANT propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuels conséquences négatives.

Dans le cas où il serait impossible de communiquer simultanément l’ensemble desdites informations, celles-ci devront être communiquées de manière échelonnée sans autre retard indu.

Il appartient au CLIENT et/ou le cas échéant au(x) tiers responsable(s) du traitement de notifier dans les plus brefs délais les violations de données à caractère personnel objet du présent Accord aux autorités compétentes ainsi qu’aux personnes concernées lorsque la violation est susceptible de constituer un risque élevé pour les droits et les libertés des personnes physiques.

  1. Responsabilités et garanties

Si le SOUS-TRAITANT enfreint le présent contrat ou toute loi ou réglementation sur la protection des données en déterminant les finalités et les moyens du traitement, il sera considéré comme responsable du traitement, assumant ainsi toutes les responsabilités, réclamations et pénalités directes qui peuvent découler pour le CLIENT d’un tel manquement.

Le SOUS-TRAITANT n’est responsable des dommages causés par le traitement que dans les cas où (i) il n’a pas respecté les obligations du GDPR concernant spécifiquement les sous-traitants ou (ii) il a agi contrairement aux instructions écrites licites du CLIENT. Dans ces cas, la clause de responsabilité du Contrat auquel se rattache le présent Accord s’applique.

Si le sous-traitant et le CLIENT s’engagent, conformément au présent Accord, dans un processus de traitement susceptible de causer des dommages à la personne concernée, le CLIENT supporte en premier lieu l’intégralité de l’indemnisation (ou toute autre indemnisation) due à la personne concernée et réclame ensuite au SOUS-TRAITANT la part proportionnelle de l’indemnisation correspondant à la part de responsabilité du SOUS-TRAITANT dans ces pertes, étant entendu que toute limitation de responsabilité prévue dans le Contrat auquel se rattache le présent Accord s’applique.

En outre, les deux parties conviennent que le non-respect de ces obligations constitue un motif de résiliation du présent contrat.

Comme indiqué dans les Conditions générales de service, la responsabilité totale cumulée du SOUS-TRAITANT ne dépassera pas les frais de services payés par le CLIENT au cours de la période de 12 mois précédant immédiatement la fin du contrat.

  1. Audit et contrôles

Le CLIENT se réserve le droit d’effectuer, à sa seule discrétion, toute vérification qu’il jugerait utile pour vérifier que le SOUS-TRAITANT respecte les obligations mises à sa charge relativement aux traitements de données à caractère personnel objet du présent accord. Le SOUS-TRAITANT s’engage à répondre à toute demande d’audit du CLIENT et à toute opération d’audit réalisée par le CLIENT ou par un tiers désigné par le CLIENT.

Les audits sur site interviennent à fréquence raisonnable (au maximum une fois par an), pendant les jours et heures ouvrés du SOUS-TRAITANT, et ne doivent en aucun cas perturber les activités du SOUS-TRAITANT. Les audits sont réalisés aux frais du CLIENT et peuvent être facturés au CLIENT par le SOUS-TRAITANT au temps passé sur la base de tarifs conformes aux standards du marché.

Le CLIENT notifie au SOUS-TRAITANT par écrit avec un délai de prévenance raisonnable (au minimum 30 jours), sa volonté de réaliser un audit en précisant l’objet et le périmètre de l’audit ainsi que les informations auxquelles il souhaite accéder ; lesquelles doivent concerner exclusivement les traitements objet du présent Accord. L’audit ne pourra notamment pas porter sur les données financières, comptables et commerciales du SOUS-TRAITANT.

Le SOUS-TRAITANT s’engage à coopérer et, le cas échéant, se porte fort de la coopération des sous-traitants ultérieurs avec l’auditeur dans ces opérations, notamment en fournissant toutes les informations utiles ainsi qu’en permettant l’accès aux ressources spécifiques utilisées pour traiter les données à caractère personnel du CLIENT. L’auditeur n’est pas autorisé à accéder aux ressources utilisées par ou pour d’autres clients du SOUS-TRAITANT, ni aux ressources mutualisées entre le CLIENT et d’autres clients du SOUS-TRAITANT. Le CLIENT n’est notamment pas autorisé à procéder ou à faire procéder à des tests d’intrusion sur lesdites ressources mutualisées (notamment le Siteweb et le Portail) ou à des tests d’intrusion physique sur le(s) site(s) et/ou dans le(s) Datacenter(s) utilisés par le SOUS-TRAITANT.

Sur demande du CLIENT, le SOUS-TRAITANT lui communique la synthèse managériale d’un rapport d’audit technique portant sur les ressources mutualisées susvisées. Cet audit doit être réalisé par un auditeur indépendant et dater de moins de trois ans. Si le CLIENT souhaite réaliser des tests d’intrusion sur les ressources mises spécifiquement à sa disposition dans le cadre des Services, ceci donne lieu au préalable à la signature d’un contrat spécifique entre le SOUS-TRAITANT et le CLIENT, et le cas échéant le ou les auditeur(s) tiers.

Si l’audit réalisé révèle un non-respect des garanties et des engagements du SOUS-TRAITANT et, le cas échéant, de ses sous-traitants ultérieurs, le SOUS-TRAITANT devra mettre en œuvre dans les meilleurs délais des mesures de remédiation, à sa charge.

Si le CLIENT souhaite mandater un auditeur tiers, ce dernier doit (i) être un auditeur reconnu pour son expertise, (ii) ne pas être un concurrent du SOUS-TRAITANT et (iii) s’engager par écrit vis-à-vis du SOUS-TRAITANT à respecter la confidentialité de tous les documents et informations qui lui seront communiqués ou auxquels il aura accès dans le cadre de l’audit. Le SOUS-TRAITANT se réserve le droit de refuser des auditeurs tiers pour juste motif tel que conflit d’intérêt.

Si l’audit est effectué à la demande du responsable du traitement ou du Client, ce dernier supporte tous les coûts et honoraires découlant de l’audit établis au temps passé sur la base de tarifs conformes aux standards du marché.

A l’issue de l’audit, un exemplaire de l’intégralité du rapport d’audit rédigé est communiqué au SOUS-TRAITANT dès sa finalisation.

  1. Gestion des demandes d’exercice de droits

Le SOUS-TRAITANT aide le CLIENT par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits en particulier :

1. Droits d’accès, de rectification, de suppression et d’opposition.

2. Droit à la limitation du traitement.

3. Droit à la portabilité des données.

4. Droit à ne faire l’objet d’aucune décision individuelle automatisée (y compris le profilage)

Notamment, lorsque les personnes concernées adressent leur demande d’exercice de droits au SOUS-TRAITANT, ce dernier s’engage à transférer ces demandes au Client par courriel à l’adresse de contact renseignée par le CLIENT dans son compte client. La communication de la demande au CLIENT doit s’effectuer dans les meilleurs délais et en tout état de cause dans les 7 jours suivant réception.

Par ailleurs, le SOUS-TRAITANT s’engage à :

a. Assister le Client dans le traitement desdites demandes, notamment en lui communiquant sur demande, toute information nécessaire en sa possession ;

b. Assurer la disponibilité des Services conformément à ses engagements contractuels afin que le Client soit en mesure de déployer des solutions et une organisation appropriée pour traiter les demandes d’exercice de droit des personnes concernées conformément à la réglementation en vigueur.

Le SOUS-TRAITANT ne doit en aucun cas répondre, au nom et pour le compte du CLIENT, aux demandes qu’il recevrait, excepté si les Parties en conviennent autrement.

  1. Portabilité des données

Conformément à l’article « Période et fin de Services » des Conditions générales de services et d’utilisation, le Client est responsable des opérations permettant d’assurer la portabilité des données à caractère personnel objet du présent accord.

Le SOUS-TRAITANT s’engage à :

i. Assurer la disponibilité des Services et à assister le Client, afin de lui permettre, avant la date effective de résiliation ou d’expiration des Services, d’organiser et de réaliser lesdites opérations de portabilité (notamment sauvegarde, migration et restauration sur de nouvelles infrastructures) des données à caractère personnel hébergées dans le cadre du Service ;

ii. Sur simple demande, et à condition que cette demande soit faisable et communiquée au SOUS-TRAITANT dans un délai minimum de 30 jours avant la date effective de résiliation ou d’expiration des Services, restituer au Client à la fin des Services quelle qu’en soit la cause, dans un format lisible et exploitable, une copie de l’intégralité des données concernées par la demande et disponibles dans le cadre des Services à la date convenue.

Les copies de données mentionnées au point (ii) ci-dessus peuvent faire l’objet d’une facturation supplémentaire établie sur la base de tarifs raisonnables conformes aux standards du marché et systématiquement communiqués au CLIENT pour validation préalable. Les modalités de calcul des coûts et délais pour la restitution des copies, ainsi que les formats de restitution sont communiqués au CLIENT sur simple demande adressée au Support Client.

Les modalités permettant le déplacement des machines virtuelles/conteneurs sont décrites sur le Site Internet du SOUS-TRAITANT.

Le SOUS-TRAITANT communique au CLIENT sur demande sa politique de réversibilité.

  1. Gestion des demandes de tiers

S’il reçoit une demande d’un tiers, y compris d’une autorité (administrative, judiciaire ou autre), visant à obtenir communication de données à caractère personnel objet du présent Accord, le SOUS-TRAITANT s’engage à :

a. Informer le CLIENT dans les plus brefs délais (sauf si la réglementation de l’Union européenne applicable l’interdit),

b. Demander au tiers d’adresser sa demande directement au CLIENT et,

c. En cas de refus du tiers, s’opposer systématiquement à la demande sauf s’il est établi que cette demande émane d’une autorité compétente agissant en exécution d’une décision reconnue et exécutoire en application du droit de l’Union européenne et du droit de l’État membre de l’Union européenne dont relève le traitement concerné conformément à l’article 48 du RGPD, auquel cas la communication de données doit être exclusivement limitée à ce qui est requis par la décision.

Le SOUS-TRAITANT s’engage à tenir un registre des demandes de tiers visant à obtenir communication de Données à caractère personnel objet du présent Accord contenant notamment une copie de la demande et des réponses apportées, la liste des données transmises, le ou les destinataires et les dates de communication.

  1. Points de contact

Pour toutes questions relatives à la protection des données des données à caractère personnel, et notamment pour toutes les notifications à réaliser en application du présent accord, les Parties conviennent d’utiliser les points de contact suivants :

Pour contacter le CLIENT :
Le point de contact renseigné par le Client dans les informations liées à son compte client.

Pour contacter le SOUS-TRAITANT :
dpd@jotelulu.com