LE SOUS-TRAITANT (et son personnel) s’engage à :
A. Utiliser les données personnelles faisant l’objet du traitement, ou celles qu’ils collecteraient pour leur intégration, uniquement pour la finalité faisant l’objet du Service. En aucun cas il ne pourra utiliser les données pour des finalités propres et réaliser des traitements hors de la portée du Service.
B. Traiter les données conformément aux instructions du RESPONSABLE DU TRAITEMENT. Dans le cas où le SOUS-TRAITANT estimerait que l’une des instructions transgresse le RGPD ou toute autre disposition en matière de protection des données de l’Union européenne ou des États membres, il informera immédiatement le RESPONSABLE DU TRAITEMENT.
C. Tenir, par écrit, un registre de toutes les catégories d’activités de traitement effectuées pour le compte du RESPONSABLE DU TRAITEMENT, qui devra contenir :
a) Le nom et les coordonnées de contact du ou des chargés, ceux et de chaque responsable pour le compte duquel le chargé agit et, le cas échéant, ceux du représentant du responsable ou du chargé et ceux du délégué de protection des données.
b) Les catégories de traitements effectués pour le compte de chaque responsable.
c) Le cas échéant, les transferts de données personnelles à un pays tiers ou une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, le cas échéant, les transferts indiqués à l’article 49, deuxième alinéa, du RGPD, de la documentation des garanties pertinentes.
d) Une description générale des mesures techniques et organisationnelles de sécurité relatives à :
i. La pseudonymisation et au cryptage des données à caractère personnel.
ii. La capacité à garantir la confidentialité, l’intégrité, la disponibilité et la résilience permamentes des systèmes et des services de traitement.
iii. La capacité de restaurer rapidement la disponibilité et l’accès aux données à caractère personnel en cas d’incident physique ou technique.
iv. Les processus de vérification, d’évaluation et de valorisation réguliers de l’efficacité des mesures techniques et organisationnelles pour garantir la sécurité du traitement.
D. Ne communiquer aucune donnée à des tiers, excepté avec l’autorisation expresse du RESPONSABLE DU TRAITEMENT, dans les cas juridiquement acceptés. Le SOUS-TRAITANT peut communiquer des données à d’autres chargés du traitement du RESPONSABLE DU TRAITEMENT, conformément aux instructions du RESPONSABLE DU TRAITEMENT. Dans ce cas, le RESPONSABLE DU TRAITEMENT identifiera préalablement par écrit l’entité à laquelle doivent être communiquées les données, les données à communiquer ainsi que les mesures de sécurité à appliquer pour procéder à la communication. Si le SOUS-TRAITANT doit transférer des données personnelles à un pays tiers ou une organisation internationale, en vertu du Droit de l’Union ou des États membres qui lui serait applicable, il devra préalablement informer le RESPONSABLE DU TRAITEMENT de cette obligation légale, excepté si le Droit l’interdit pour des motifs importants d’intérêt public.
E. Le RESPONSABLE DU TRAITEMENT autorise préalablement, de façon spécifique et explicite, le SOUS-TRAITANT à sous-traiter des tiers qui lui fournissent des services (ci-après les « sous-chargés »). Ces sous-traitants peuvent être ou non des fournisseurs externes au sein de l’UE/EEE.
Dans le cas où un sous-chargé se trouverait dans une juridiction hors de l’UE/EEE et qu’elle ne figurerait pas sur la liste approuvée par la Commission européenne des pays tiers ayant des niveaux de protection de données satisfaisantes conformément au RGPD, le SOUS-TRAITANT et ce sous-chargé devront signer un accord exprès pour garantir que ce dernier conservera toutes le données personnelles en respectant rigoureusement les normes de diligence requises par les lois en vigueur de l’UE en matière de protection des données.
A la demande du RESPONSABLE DE TRAITEMENT, le SOUS-TRAITANT lui fournit une copie de l’accord susmentionné et de toute modification qui y est apporté ultérieurement. Dans la mesure nécessaire à la protection du secret des affaires ou d’autres informations confidentielles, y compris les données à caractère personnel, le SOUS-TRAITANT peut expurger le texte du contrat susmentionné avant d’en diffuser une copie.
Le SOUS-TRAITANT demeure pleinement responsable, à l’égard du RESPONSABLE DE TRAITEMENT, de l’exécution des obligations du sous-chargé conformément au contrat conclu avec ce dernier. Le SOUS-TRAITANT informe le RESPONSABLE DE TRAITEMENT de tout manquement du sous-chargé à ses obligations contractuelles.
Le SOUS-TRAITANT convient avec le sous-chargé d’une clause du tiers bénéficiaire selon laquelle – dans le cas où le SOUS-TRAITANT a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable – le RESPONSABLE DE TRAITEMENT a le droit de résilier le contrat conclu avec le sous-chargé et de donner instruction au sous-chargé d’effacer ou de renvoyer les données à caractère personnel.
F. Garantir que les personnes autorisées à traiter des données à caractère personnel s’engagent de façon expresse et par écrit à respecter la confidentialité ainsi qu’à appliquer les mesures de sécurité pertinentes, dont elles seront pertinemment informées.
G. Garder à disposition du RESPONSABLE DU TRAITEMENT la documentation justifiant l’application de l’obligation établie dans le paragraphe précédent.
H. Assurer la formation nécessaire en matière de protection des données personnelles des personnes autorisées à traiter des données à caractère personnel.
I. Assister le RESPONSABLE DU TRAITEMENT dans la réponse à l’exercice des droits ci-dessous :
- Droits d’accès, de rectification, de suppression et d’opposition.
- Droit à la limitation du traitement.
- Droit à la portabilité des données.
- Droit à ne faire l’objet d’aucune décision individuelle automatisée (y compris le profilage)
Lorsque les personnes concernées exercent les droits d’accès, de rectification, de suppression, d’opposition, à la limitation du traitement, à la portabilité des données et à ne faire l’objet d’aucune décision individuelle automatisée auprès du SOUS-TRAITANT, ce dernier devra le communiquer par courriel à l’adresse [•]. La communication des données doit s’effectuer immédiatement et en aucun cas au-delà du jour ouvrable suivant la réception de la demande, en y joignant, le cas échéant, toutes les autres informations qui pourraient être importantes pour répondre à la demande. Le SOUS-TRAITANT ne doit en aucun cas répondre, au nom et pour le compte du RESPONSABLE DU TRAITEMENT, aux demandes qu’il recevrait, excepté si le RESPONSABLE DU TRAITEMENT l’en autorise préalablement.
J. Le RESPONSABLE DU TRAITEMENT a l’obligation de faciliter le droit d’information lors de la collecte des données.
K. Notification des violations de la sécurité des données : le SOUS-TRAITANT devra notifier au responsable du traitement, sans retard injustifié, et dans tous les cas dans un délai maximum de 24 heures, toutes les violations de la sécurité des données personnelles sous sa responsabilité dont il aurait connaissance, avec toutes les informations importantes pour la documentation et la communication de l’incident. Cette communication devra s’effectuer en envoyant un courriel au RESPONSABLE DU TRAITEMENT.
La communication devra au moins inclure les informations ci-dessous :
a. Description de la nature de la violation de la sécurité des données personnelles, y compris, si possible, les catégories et le nombre approximatif d’intéressés concernés, ainsi que les catégories et le nombre approximatif d’enregistrements de données personnelles concernés.
b. Nom et coordonnées de contact du délégué à la protection des données ou de tout autre point de contact auprès duquel d’autres informations pourraient être obtenues.
c. Description des éventuelles conséquences de la violation de la sécurité des données personnelles.
d. Description des mesures adoptées ou proposées pour empêcher la violation de la sécurité des données personnelles, y compris, le cas échéant, les mesures adoptées pour atténuer les éventuels effets négatifs.
Dans le cas où il serait impossible de communiquer les informations simultanément, et dans la mesure où il serait impossible, les informations devront être graduellement communiquées, sans retard injustifié. Il appartient au SOUS-TRAITANT de communiquer dans les plus brefs délais les violations de la sécurité des données aux intéressés lorsqu’il est probable que la violation puisse constituer un danger important pour les droits et les libertés des personnes physiques.
La communication doit s’effectuer dans un langage clair et simple et devra contenir au moins les éléments ci-dessous :
a. Expliquer la nature de la violation des données.
b. Indiquer le nom et les coordonnées de contact du délégué à la protection des données ou de tout autre point de contact auprès duquel d’autres informations pourraient être obtenues.
c. Décrire les éventuelles conséquences de la violation de la sécurité des données personnelles.
d. Décrire les mesures adoptées ou proposées par le responsable du traitement pour pallier la violation de la sécurité des données personnelles, y compris, le cas échéant, les mesures adoptées pour atténuer les éventuels effets négatifs.
L. Apporter un soutien au RESPONSABLE DU TRAITEMENT lors de la réalisation des évaluations d’impact relatives à la protection des données, le cas échéant.
M. Apporter un soutien au RESPONSABLE DU TRAITEMENT lors de la réalisation des consultations préalables à l’autorité de contrôle, le cas échéant.
N. Mettre à disposition du RESPONSABLE DU TRAITEMENT toutes les informations nécessaires pour démontrer l’exécution de ses obligations ainsi que pour la réalisation des audits ou des inspections que le RESPONSABLE DU TRAITEMENT ou tout autre auditeur autorisé par ce dernier effectuerait.
O. Il devra dans tous les cas implanter des mécanismes pour :
a. Garantir la confidentialité, l’intégrité, la disponibilité et la résilience permanentes des systèmes et des services de traitement.
b. Restaurer rapidement la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique.
c. Réviser, évaluer et estimer, de façon régulière, l’efficacité des mesures techniques et organisationnelles mises en place pour garantir la sécurité du traitement.
d. Pseudonymiser et crypter les données personnelles, le cas échéant.
P. Destination des données au terme de la prestation des services : Le SOUS-TRAITANT devra restituer au RESPONSABLE DU TRAITEMENT les données personnelles et, le cas échéant, les supports sur lesquels elles figureraient une fois la prestation de service réalisée. La restitution devra inclure la suppression totale des données qui existeraient dans les équipements informatiques utilisés par le chargé. Toutefois, le SOUS-TRAITANT pourra conserver une copie, avec les données dûment bloquées, tant que peuvent émaner des responsabilités associées à l’exécution de la prestation de service.