ACCORD DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL

Voir la version 4 de octobre 2020

Version 5 : octobre 2021

 

Préambule

Le présent accord s’applique au traitement de données à caractère personnel réalisé par le Client, en sa qualité de responsable de traitement (ci-après, le « Responsable de traitement ») et AT Internet, en sa qualité de sous-traitant (ci-après, le « Sous-traitant ») dans le cadre de la mise à disposition d’une solution de digital analytics. Le présent accord constitue un document indépendant visant à définir les obligations respectives des Parties afin d’assurer le respect de la législation en vigueur en termes de traitement de données à caractère personnel et de respect de la vie privée. Il ne comprend pas de dispositions commerciales convenues par ailleurs entre les Parties dans le cadre d’accords commerciaux distincts.

 

• Article 1. Définitions

Aux fins du présent accord, les termes « données à caractère personnel », « traitement », « limitation du traitement », « fichier », « responsable de traitement », « sous-traitant », « destinataire », « tiers », « consentement », « violation de données à caractère personnel », « autorité de contrôle » ont la même signification que dans le Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »).

 

« Données » désigne l’ensemble des données définies ci-dessous :

• Données Brutes : désigne l’intégralité des données collectées avant enrichissement par le Sous-traitant. Elles se composent du hit, de l’adresse IP et du header http contenant le User Agent, l’ID du terminal utilisateur (cookie, mobile, etc.) et l’URL de la page qui a généré ce hit (mode web). Ces données ne sont pas accessibles au Responsable de traitement.
• Donnée Brutes Disponibles désigne une partie des Données Brutes accessible en temps réel pour permettre au Responsable de traitement de vérifier l’implémentation et le marquage effectué.
• Données Traitées : désigne l’intégralité les données analytics accessibles au Responsable de traitement dans l’interface web sécurisée, via API ou dans les exports (sous toutes leurs formes : Excel, CSV, Word, etc.) après calcul et enrichissement par le Sous-traitant (géolocalisation, détection des devices, exclusion des robots, etc.).

 

« Personnel autorisé » désigne toute personne physique autorisée par le Responsable de Traitement à accéder à la Solution et à laquelle le Responsable de traitement (ou, le cas échéant, le Sous-traitant à la demande du Responsable de traitement) a fourni des droits d’access à la solution. Les Personnels Autorisés peuvent comprendre par exemple les salariés, les consultants, les indépendants et les mandataires du Responsable de traitement, ainsi que les tiers avec lesquels le Responsable de traitement entretient des relations commerciales.

 

• Article 2. Respect des principes européens

Chaque Partie s’engage à respecter la législation applicable en matière de données à caractère personnel et de respect de la vie privée, et notamment le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et de la directive 2002/58/CE du Parlement Européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).

 

• Article 3. Objet

Le présent accord a pour objectif de déterminer les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après pour la fourniture de la solution de digital analytics.

 

• Article 4. Respect des instructions

Le Sous-traitant s’engage à traiter les Données conformément aux instructions du Responsable de traitement telles que déterminées dans le présent accord.

Il est rappelé que le Responsable de traitement bénéficie d’une solution SaaS de digital analytics développée par le Sous-traitant à l’attention de l’ensemble de ses clients. A ce titre, toute instruction spécifique particulière du Responsable de traitement sera soumise à la validation préalable du Sous-traitant qui se réserve le droit d’accepter ou de refuser celle-ci en fonction des ressources nécessaires à sa mise en œuvre, du coût et/ou des possibilités d’intégration dans le socle technique de la solution. L’exécution d’instructions spécifique ne commencera qu’après signature d’un accord écrit entre le Responsable de traitement et le Sous-traitant lequel contiendra le cas échéant les frais supplémentaires à payer par le Responsable de traitement.

Si le Sous-traitant estime qu’une instruction émise par le Responsable de Traitement ou une utilisation de la Solution par le Personnel Autorisé constitue une violation de la règlementation en vigueur, il en informe immédiatement le Responsable de traitement.

 

• Article 5. Licéité des traitements

Le Responsable de traitement garantit seul la licéité des traitements réalisés par le Sous-traitant. A ce titre, le Responsable de traitement s’engage d’une part à informer les utilisateurs des sites web, mobiles et des applications mobiles du service de digital analytics et d’autre part à recueillir valablement le consentement des personnes concernées lorsque ce consentement est requis et à les informer de leur droit de retirer leur consentement à tout moment. Le Responsable de traitement doit conserver la preuve du consentement obtenu pour en justifier le cas échéant.

Lorsque le Responsable de traitement utilise les cookies tiers AT Internet, le Sous-traitant s’engage à fournir au Responsable de traitement les moyens techniques permettant aux personnes concernées de s’opposer à la collecte et au traitement de leurs données à caractère personnel (opt-out), étant entendu que la mise à disposition de cette solution technique aux personnes concernées reste du ressort du Responsable de traitement.

Lorsque le Responsable de traitement utilise un cookie first pour la solution de digital analytics, il s’engage à mettre à disposition des personnes concernés son propre système d’opt-out.

 

Spécificité ouverte aux responsables de traitement sous autorité de la CNIL (« exemption Cnil ») :

Conformément à la délibération CNIL n° 2020-091 du 17 septembre 2020 (lignes directrices), les traceurs de mesure d’audience peuvent être exemptés du recueil du consentement. Les conditions de mise en œuvre de cette dispense et ses conséquences sur les traitements réalisés par le Sous-traitant sont détaillées en Annexe « Exemption CNIL ».

 

• Article 6. Description des traitements faisant l’objet de la sous-traitance

• 6.1. Objet des traitements

Dans le cadre de la mise à disposition d’une solution de digital analytics en mode SaaS au Responsable de traitement, le Sous-traitant met en œuvre la collecte et le traitement des données sur la base du marquage implémenté par le Responsable de traitement afin de mesurer l’audience de ses sites internet, intranet et mobiles, ainsi que de ses applications mobiles ; le Responsable de traitement pourra également mesurer l’audience de sites tiers et applications mobiles tierces s’il y est dument autorisé par le propriétaire du site tiers et/ou applications mobiles tierces (le Responsable de traitement apportera la preuve de cette autorisation à première demande du Sous-traitant).

• 6.2. Finalité des traitements

La solution conçue par le Sous-traitant vise la production de données et d’analyses d’audience statistiques et de digital intelligence et leur restitution via la solution (interface web à la disposition du Responsable de traitement, export, API, etc.)

En sus de la finalité principale énoncée ci-dessus, le Responsable de traitement peut souhaiter utiliser la solution de digital analytics pour des finalités accessoires autres, liées notamment au secteur d’activité du Responsable de traitement et/ou aux objectifs stratégiques numériques poursuivis par celui-ci.

En outre, l’accessibilité des Données Brutes Disponibles n’est permise que pour permettre au Responsable de traitement de vérifier l’implémentation et le marquage effectué.

• 6.3. Durée des traitements

Nonobstant la durée de conservation des données précisée à l’article 11 de l’accord, la collecte et le traitement de données personnelles perdurent pour la durée de la relation commerciale entre les Parties.

• 6.4. Personnes concernées

Les données à caractère personnel se rapportent aux catégories suivantes de personnes concernées :

• Personnel autorisé du Responsable de traitement.
• Utilisateurs des sites web, mobiles et des applications mobiles audités par la solution de digital analytics du Sous-traitant.
• 6.5. Type de données à caractère personnel

Les données à caractère personnel se rapportent aux catégories de données suivantes :

• Personnel autorisé du Responsable de traitement: nom, prénom, poste, email professionnel, téléphone professionnel, photographie, couple identifiant/mot de passe de connexion (haché) à la solution.
• Utilisateurs des sites web, mobiles et applications mobiles:
• Données nécessairement collectées par le marqueur pour atteinte de la finalité principale :
  • Adresse IP des visiteurs des sites web et mobiles audités ;
  • Cookie ID généré par le cookie AT Internet lors de son activation dans le navigateur web utilisé par le visiteur du site web audité ;
  • Mobile ID ;
  • Toute donnée de navigation se rapportant à ces identifiants.
• Donnée créée par le Sous-traitant pour atteinte de la finalité principale :
  • Visitor ID ;
  • Toute donnée de digital analytics calculée par le Sous-traitant se rapportant à cet identifiant.
• Données éventuellement collectées par le marqueur pour des finalités accessoires propres au Responsable de traitement (collecte non systématique mais fonction de l’implémentation de la solution par le Responsable de traitement):
  • Coordonnées GPS des visiteurs des sites et applications mobiles audités ;
  • User ID, identifiant permettant de reconnaitre un utilisateur identifié ;
  • Transaction ID, identifiant permettant d’identifier une commande dans le cadre de l’utilisation du module e-commerce ;
  • Emailing recipient ID ;
  • Autre donnée à caractère personnel collectée via implémentation particulière de la solution par le Responsable de traitement ;
  • Toute donnée de digital analytics associée à ces identifiants ou ces données à caractère personnel.
• Données éventuellement importées dans la solution par le Responsable de traitement pour des finalités accessoires propres au Responsable de traitement :
  • Toute donnée à caractère personnel détenue par le Responsable de traitement et importée par lui dans la solution de digital analytics et toute donnée de digital analytics associée à cette donnée à caractère personnel.

• 6.6. Nature des traitements
• Personnel autorisé du Responsable de traitement :

Les traitements portant sur les données à caractère personnel du Personnel autorisé du Responsable de Traitement sont collectés et utilisés par le Sous-traitant pour assurer la mise en œuvre de la relation contractuelle (accès aux interfaces web sécurisées de la solution, commande, suivi de projet, facturation, etc.).

En outre, le Sous-traitant monitore l’utilisation de la solution par le personnel autorisé du Client, dans l’objectif d’amélioration des services et afin de conseiller au mieux le Responsable de Traitement dans l’utilisation de la solution.

Ces données sont conservées pour toute la durée de la relation commerciale augmentée d’un (1) mois ou conformément aux délais légaux le cas échéant.

 

• Solution de digital analytics :

 

		Donnée à caractère personnel comprise dans les Données Brutes et non accessible dans la solution	Donnée à caractère personnel comprise dans les Données Brutes Accessibles	Donnée à caractère personnel comprise dans les Données Traitées et accessible dans la solution
Types de données collectées par défaut par le marqueur AT Internet et nécessaires pour la réalisation de la finalité principale.	Adresse IP	Oui + option d’anonymisation disponible à la demande du Responsable de traitement suppression du dernier octet)	Non	Non
	Cookie ID	Oui (fonction de la plateforme visitée)		Visitor ID
	Mobile ID	Oui (fonction de la plateforme visitée)
	Données Analytics se rapportant aux identifiants ci-dessus	Oui		Oui (enrichies)
Types de données qui peuvent être collectées par le marqueur AT Internet à l’initiative du Responsable de traitement et pour la réalisation de ses propres finalités accessoires.	GPS	oui (si utilisation SDK et implémentation de la collecte par le Responsable de traitement) troncature à une décimale		Oui (si collectée)
	User ID	Oui (si implémentation de la collecte par le Responsable de traitement)		Oui (si collectée)
	Transaction ID	Oui (si implémentation de la collecte par le Responsable de traitement)		Oui (si collectée)
	Emailing-recipient ID	Oui (si implémentation de la collecte par le Responsable de traitement)		Oui (si collectée)
	Autre donnée à caractère personnel	Oui (si implémentation de la collecte par le Responsable de traitement)		Oui (si collectée)

 

 

La mise en œuvre du traitement réalisé par le Sous-traitant dans le cadre de la mise à disposition de sa solution de digital analytics en mode SaaS intervient comme suit :

1. Le Responsable de traitement définit le périmètre des sites, applications et objets connectés sur lesquels il souhaite implémenter la solution et les objectifs attendus par l’utilisation de la solution de digital analytics du Sous-traitant. Il désigne un ou plusieurs administrateur(s) parmi son Personnel autorisé.
2. Le Sous-traitant communique des droits d’accès à(aux) l’administrateur(s) désigné(s) et met le marqueur AT Internet à la disposition de ce(s) dernier(s) dans son interface web sécurisée.
3. Le Responsable de traitement, soit l’administrateur désigné, ou toute personne mandatée par lui et à qui il a ouvert des droits d’accès correspondants, implémente les marqueurs AT Internet dans les pages de ses sites web mobiles et dans ses applications mobiles.
4. En fonction de la technologie choisie, et en fonction du consentement de l’utilisateur ou en cas d’exemption au recueil du consentement, un traceur (cookie ID, mobile ID, etc.) est utilisé lors de la visite de l’utilisateur du périmètre audité..

Afin de pouvoir déterminer qu’un même utilisateur est à l’origine de plusieurs visites, le Sous-traitant utilise, en fonction du support visité, l’adresse IP et/ou l’ID Cookie et /ou le Mobile identifier du visiteur pour créer un identifiant numérique généré automatiquement, l’ID Visitor. Cet identifiant ne permet en aucun cas l’identification nominative de l’utilisateur et n’est pas réversible : une fois déterminé, il est impossible pour le Sous-traitant de revenir à l’adresse IP, à l’ID Cookie ou au Mobile Identifier dont il est issu.

5. Les marqueurs implémentés par le Responsable de traitement génèrent l’envoi automatique de Données Brutes vers les serveurs de collecte du Sous-traitant auxquels le Responsable de traitement n’a pas accès. Outre différentes informations de connexion, les Données Brutes contiennent des données à caractère personnel relatives aux utilisateurs des périmètres audités. Toutefois, le Responsable de traitement peut avoir accès aux Données Brutes Disponibles.
6. Le Sous-traitant effectue une première série de traitements sur les Données Brutes et les met dans un format utilisable par une base de données. De cette transformation résulte les Données Traitées. 

Le Responsable de traitement peut, s’il le souhaite, et dans la poursuite de finalités qui lui sont propres, enrichir les Données Traitées de données en provenance d’autres fichiers en sa possession. De plus, en sus des données à finalité accessoire listées ci-dessus, le Responsable de traitement est techniquement en mesure d’implémenter le marqueur AT Internet de façon à collecter d’autres données à caractère personnel, comme notamment des données en provenance de formulaires complétés par l’utilisateur du support audité. Les données ainsi collectées feront donc partie des Données Brutes, et sont contenues dans les Données Traitées et, donc, d’être accessible depuis la solution.

7. Le Sous-traitant permet la restitution des analyses et données d’audience via la solution à laquelle seules les personnes autorisées du Responsable de traitement ont accès. Le Responsable de traitement accède alors aux Données Traitées. Les Données ne sont transférées à aucun tiers, sauf à la demande expresse écrite préalable du Responsable de traitement, notamment dans le cadre de partenariats technologiques disponibles dans le cadre de la solution et retenus par le Responsable de traitement.

 

• Article 7. Obligation d’information

Le Responsable de traitement s’engage à informer les visiteurs des sites et applications audités de l’existence des traitements ainsi que des droits en résultant de façon concise, transparente, compréhensible et aisément accessible dans les conditions exposées aux articles 13 et 14 du RGPD.

Le Sous-traitant s’engage à coopérer avec le Responsable de traitement afin de l’aider à satisfaire à son obligation relative à l’information des personnes concernées et à répondre aux demandes d’information de la part du Responsable de traitement dans les plus brefs délais.

 

• Article 8. Limitation des finalités

Les traitements mis en œuvre par le Sous-traitant ont pour finalité principale la mise à disposition d’une solution de digital analytics en mode SaaS au Responsable de traitement lui permettant de mesurer l’audience de ses sites internet, mobiles et de ses applications mobiles. La solution recueille des données statistiques d’audience sur les médias numériques qui sont ensuite reproduites sur une interface web sécurisée. Ces données permettent au Responsable de traitement d’améliorer notamment l’ergonomie de ses supports numériques, de son offre ainsi que la qualité de ses produits et services.

 

Le Responsable de traitement reste techniquement en mesure d’utiliser la solution pour des finalités accessoires qui lui sont propres. Dans ce cas, le Sous-traitant ne saurait être tenu responsable de toute utilisation de la solution et des données par le Responsable de traitement dans la poursuite de finalités autres que l’analyse statistique de l’audience de ses sites, et notamment en cas de collecte de données à caractère personnel non indispensables, en cas d’import de données à caractère personnel dans la solution et en cas de croisement des données issues de la solution avec des données ou systèmes propres au Responsable de traitement. Ainsi, si le Responsable de traitement va au-delà de la finalité principale, il sera seul responsable envers tout tiers ou toute autorité de contrôle.

 

Le Sous-traitant s’interdit toute utilisation des Données autre que celle strictement nécessaire à la fourniture de la Solution au Responsable de traitement.

 

• Article 9. Minimisation des données

Le Responsable de traitement, via l’implémentation des marqueurs sur les sites et applications qu’il souhaite auditer ou via import de données dans la solution, a l’intégrale maîtrise technique du périmètre des Données.

 

Les données à caractère personnel collectées pour atteinte de la finalité principale (cf la première partie du tableau inséré à l’article 6.6) sont les seules données strictement nécessaires à la fourniture de la solution de digital analytics et dont la collecte est pertinente et appropriée au regard de la finalité principale du traitement

 

 

En tout état de cause, le Responsable de traitement s’interdit de collecter ou d’importer des données dites sensibles (article 9 du RGPD, catégories particulières de données à caractère personnel) ou des données relatives aux condamnations pénales et aux infractions (article 10 du RGPD).

 

• Article 10. Exactitude des données

Le Responsable de traitement s’engage à prendre toutes les mesures raisonnables afin de s’assurer que les données à caractère personnel inexactes soient rectifiées ou effacées. Le Sous-traitant s’engage à coopérer avec le Responsable de traitement et à traiter les demandes de correction ou suppression émises par le Responsable de traitement et/ou par les utilisateurs de ses sites web, mobiles et applications mobiles.

 

• Article 11. Limitation de la conservation

11.1 Conservation en cours de contrat

• Durée standard

Les Données Brutes et les Données Traitées sont conservées par le Sous-traitant vingt-cinq (25) mois à compter de leur collecte.

• Durée personnalisée

Le Responsable de traitement est libre de déterminer une durée de conservation inférieure.

Pour permettre au Sous-traitant de personnaliser la durée de conservation, le Responsable de traitement via son administrateur doit faire une demande écrite au centre support du Sous-Traitant.

Toute durée de conservation supérieure à la durée standard devra faire l’objet d’un accord particulier (option payante).

 

11.2 Purge en fin de contrat

Au terme de la relation commerciale entre le Responsable de traitement et le Sous-traitant augmentée de un (1) mois et sous réserve de l’absence de litige avec le Responsable de traitement le Sous-traitant s’engage à détruire les Données du Responsable de traitement et à n’en conserver aucune copie. Le Responsable de traitement est libre de demander une suppression de ses données dès la fin du de la relation commerciale. 

 

• Article 12. Exercice des droits des personnes concernées

Il est entendu que les personnes concernées sont libres d’exercer les droits que leur confère le traitement à l’égard de et à l’encontre du Responsable de traitement. Les Parties s’engagent à coopérer entre elles afin de permettre le traitement rapide et efficace de toute demande et d’être en mesure de répondre à la personne concernée dans le délai légal d’un (1) mois à compter de la réception de la demande.

 

Lorsque la demande est formulée à l’encontre du Responsable de traitement, et, dans l’hypothèse où ce dernier ne peut y donner suite sans le concours du Sous-traitant, le Responsable de traitement s’engage à solliciter le point de contact du Sous-traitant dans les plus brefs délais, par email à dpo@atinternet.com ou au centre support AT Internet, et dans un maximum de cinq (5) jours ouvrés suivant la réception de la demande. Le Responsable de traitement fournira au Sous-traitant tout élément indispensable à la compréhension et à l’examen de la demande. Le Sous-traitant fournira au Responsable de traitement les éléments requis dans un délai permettant au Responsable de traitement de répondre à la personne concernée dans le délai légal d’un (1) mois. Dans l’hypothèse où le Sous-traitant ne serait pas en mesure de fournir les informations requises au Responsable de traitement dans les temps, et/ou dans l’hypothèse où la fourniture de telles informations se révèle impossible, le Sous-traitant informera le Responsable de traitement de la nécessité d’obtenir un délai supplémentaire ou de l’impossibilité de répondre à la demande de la personne concernée.

 

Lorsque la demande est formulée à l’encontre du Sous-traitant et qu’elle vise uniquement un traitement réalisé pour le compte du Responsable de traitement, celui-ci s’engage à en informer le Responsable de traitement dans les meilleurs délais, par écrit et dans un maximum de cinq (5) jours ouvrés suivant la réception de la demande. Le Sous-traitant fournira au Responsable de traitement les éléments requis dans un délai permettant au Responsable de traitement de répondre à la personne concernée dans le délai légal d’un (1) mois. Dans l’hypothèse où le Sous-traitant ne serait pas en mesure de fournir les informations requises au Responsable de traitement dans les temps, et/ou dans l’hypothèse où la fourniture de telles informations se révèle impossible, le Sous-traitant informera le Responsable de traitement de la nécessité d’obtenir un délai supplémentaire ou de l’impossibilité de répondre à la demande de la personne concernée.

 

• Article 13. Intégrité, Confidentialité et Sécurité des données

Le Sous-traitant s’engage à assurer la sécurité des données à caractère personnel, et, plus globalement, la sécurité des Données du Responsable de traitement et à veiller à leur intégrité et à leur confidentialité. A ce titre, il s’engage à concevoir et mettre en œuvre toute mesure technique et organisationnelle utile afin de préserver la sécurité des données, de les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisé.

 

Les mesures techniques et organisationnelles doivent à minima comprendre :

• La désignation d’un délégué à la protection des données, la sensibilisation de son personnel à la confidentialité des données personnelles et l’assujettissement du personnel à une stricte obligation de confidentialité ;
• L’existence et la mise à jour régulière d’une politique de sécurité du système d’information ;
• L’existence d’un plan de reprise d’activité permettant la continuité de service en cas d’incident ;
• La réalisation régulière de tests d’intrusion et la mise en œuvre rapide de toute mesure corrective en cas de constat de défaillance ou de vulnérabilité.

 

Le Sous-traitant s’engage à limiter l’accès aux données à caractère personnel au seul personnel ayant besoin d’en connaitre et le Sous-traitant rappelle que le Responsable de traitement est seul responsable et gestionnaire des droits d’accès à la solution.

 

Le Responsable de traitement conserve le droit de réaliser un audit annuel de la solution afin de vérifier l’adéquation des mesures techniques et organisationnelles mises en œuvre par le Sous-traitant, sous réserve de notifier son intention dans un délai raisonnable (qui ne devra pas être inférieur à 10 jours ouvrés), de procéder à un tel audit durant les heures ouvrées du Sous-traitant. Les coûts de l’audit sont supportés par le Responsable de traitement et le Sous-traitant facturera au Responsable de traitement les éventuelles ressources humaines et machines sollicitées lors de l’audit par Responsable de traitement. Les résultats de ces audits seront sujet à une obligation de confidentialité à la charge des deux Parties.

 

• Article 14. Protection des données dès la conception et par défaut

Le Sous-traitant s’engage à protéger les données à caractère personnel par défaut et dès la conception des traitements et des développements des fonctionnalités de la solution. Les méthodes pour y parvenir passent notamment par la nomination d’un Délégué à la Protection des Données ayant les compétences techniques requises, la sensibilisation des salariés à la protection des données et leur assujettissement à une stricte obligation de confidentialité.

 

• Article 15. Sous-traitance

Le Sous-traitant peut faire appel à un autre sous-traitant (ci-après « le Sous-traitant ultérieur »), pour mener des activités de traitements spécifiques.

 

Les Sous-traitants ultérieurs actuellement utilisés par le Sous-Traitant sont listés à l’adresse suivante : https://www.atinternet.com/en/processor-sub-processor-information-parent-company/

En signant le devis qui fait référence au présent accord, le Responsable de Traitement déclare avoir consulté et accepté ladite liste :

 

Le Sous-traitant restera en tout état de cause seul responsable vis-à-vis du Responsable de traitement, de l’ensemble des obligations résultant du présent Accord. Il appartient au Sous-traitant initial de s’assurer que le sous-traitant ultérieur présente des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le Responsable de traitement de l’exécution par le Sous-traitant ultérieur de ses obligations.

 

Le Sous-traitant reste libre de modifier la liste des Sous-traitants Ultérieurs. Il doit cependant informer le Responsable de traitement préalablement à tout changement envisagé concernant l’ajout ou le remplacement d’autres Sous-traitants ultérieurs. Cette information doit indiquer clairement les activités de traitement sous-traitées et l’identité et les coordonnées du Sous-traitant ultérieur. Le Responsable de traitement dispose de huit (8) jours calendaires à compter de la date de réception de cette information pour présenter ces objections. Cette sous-traitance ne peut être effectuée que si le Responsable de traitement n’a pas émis d’objection pendant le délai convenu.

 

• Article 16. Transfert en dehors de l’Union Européenne

Les données d’audience du Responsable de traitement, soit celles relatives aux visiteurs des sites et applications audités par la solution AT Internet, sont stockées en Union-Européenne. La solution étant fournie en mode SaaS, les données d’audience restent cependant accessibles par tout Personnel autorisé du Responsable de traitement disposant des droits d’accès et d’une connexion internet, quelle que soit sa localisation.

 

S’agissant des données relatives au Personnel autorisé du Responsable de traitement, le Sous-traitant est cependant autorisé par le Responsable de traitement à recourir à des moyens de traitement situés dans un pays tiers au sens du RGPD si le Sous-traitant respecte l’une des garanties suivantes :

• la législation du pays tiers concerné offre un niveau de protection des données à caractère personnel adéquat et reconnu comme tel par une décision de la Commission Européenne ;
• le Sous-traitant a conclu avec un sous-traitant ultérieur extra-européen un contrat de transfert de données à caractère personnel conforme aux modèles de clauses-type élaborés par la Commission Européenne ;
• le Sous-traitant ultérieur extra-européen du Sous-traitant a souscrit à un mécanisme de transfert autorisé de données à caractère personnel validé par les institutions de l’Union européenne.
• le sous-traitant ultérieur extra-européen du Sous-traitant a adopté des «Binding Corporate Rules» validées par une autorité de protection des données personnelles européenne habilitée.

 

• Article 17. Responsabilité

• 17.1. Vis-à-vis du Responsable de traitement

En cas de manquement au présent accord, le Sous-traitant dédommagera le Responsable de traitement de tous les dommages directs subis, à l’exclusion de tous les dommages indirects, dans la limite de la valeur annuelle de l’abonnement facturé au Responsable de traitement et payé par ce dernier. 

 

La responsabilité du Sous-Traitant ne pourra en aucun cas être limitée au titre de tous dommages causés par le dol, la fraude, la négligence grave, la faute intentionnelle ou la faute lourde du Sous-traitant.

 

• 17.2. Vis-à-vis d’une autorité de contrôle (article 82 paragraphe 2 et 3 du RGPD)

Le Responsable de traitement sera seul responsable envers toute autorité de contrôle si la violation du présent accord ou le non-respect des dispositions légales et réglementaires en matière de protection des données à caractère personnel est imputable au seul Responsable de traitement.

 

La responsabilité du Sous-traitant ne pourra être retenue 1/ que s’il a agi en dehors des instructions licites du Responsable du traitement ou contrairement à celles-ci, 2/ qu’en cas de non-respect des dispositions légales et règlementaires en matière de protection des données à caractère personnel qui incombent spécifiquement au Sous-traitant.

 

• 17.3. Vis-à-vis d’une personne concernée (article 82 paragraphe 4 et 5 du RGPD)

Lorsque le Responsable de traitement et le Sous-traitant sont responsables d’un dommage causé par le traitement, chacun est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.

Lorsque l’une des Parties a réparé totalement le dommage subi, elle est en droit de réclamer auprès de l’autre Partie la part de la réparation correspondant à la part de responsabilité de l’autre Partie dans le dommage, étant entendu que la responsabilité du Sous-traitant vis-à-vis du Responsable de traitement est limitée conformément à l’article 17.1 du présent accord.  

 

• Article 18. Autorité de contrôle compétente

L’autorité de contrôle compétente en ce qui concerne les activités et traitements réalisés par le Sous-traitant est l’autorité de contrôle du ressort du Responsable de Traitement.

Les Parties s’engagent à coopérer avec l’autorité de contrôle compétente et à lui fournir sans délai toute information nécessaire à l’exercice de sa mission.

 

• Article 19. Notification en cas de violation de données à caractère personnel

En cas de violation de données à caractère personnel, le Sous-traitant s’engage à notifier la violation au Responsable de Traitement dans les meilleurs délais après en avoir pris connaissance et dans les conditions de forme et de contenu requis par le RGPD, et ce afin de permettre au Responsable de traitement de notifier cette violation à l’autorité de contrôle compétente.

 

Le Responsable de traitement a la charge d’informer les personnes concernées dans les meilleurs délais, par exemple via la publication d’une communication sur les sites web, mobiles et applications mobiles source des données compromises.

 

• Article 20. Documentation et registre des activités de traitement

Le Sous-traitant déclare tenir un registre des traitements réalisés pour le compte du Responsable de traitement dans les conditions de formes et de contenus requis par le RGPD. Il met également à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits par le Responsable de traitement.

 

• Article 21. Analyse d’impact et consultation préalable

Le Sous-traitant s’engage à apporter toute assistance nécessaire au Responsable de traitement si celui-ci doit mener à bien une analyse d’impact sur un traitement objet du présent accord. Si cette analyse d’impact indique que le traitement présente un risque élevé pour les droits et libertés des personnes concernées, le Sous-traitant apporte également une assistance au Responsable de traitement afin qu’il puisse répondre aux renseignements demandés par l’autorité de contrôle compétente en cas de consultation préalable à la mise en œuvre du traitement.

 

• Article 22. Point de contact, Délégué à la Protection des Données (DPD)

Le Sous-traitant s’engage à nommer un Délégué à la Protection des Données (DPD) pour la durée de la relation contractuelle entre le Responsable de traitement et le Sous-traitant et à communiquer ses coordonnées au Responsable de traitement.

Le Responsable de traitement, s’engage à faire de même s’il entre dans les critères énoncés au RGDP et imposant la désignation d’un Délégué à la Protection des Données (DPD). A défaut, il communiquera les coordonnées de la personne en charge de traiter les questions liées à la protection des données personnelles et au respect de la vie privée.

 

Le Sous-traitant désigne l’interlocuteur suivant comme point de contact pour toute information ou notification en lien avec le traitement faisant l’objet de cet accord :

Louis-Marie Guérif – Délégué à la Protection des Données

AT INTERNET SAS

85 avenue J F Kennedy 33700 Mérignac France

+33 (0)1 56 54 14 30 – dpo@atinternet.com

 

Le Responsable de traitement désignera son contact à la protection des données via une notification envoyée au centre support du Sous-Traitant. A défaut de désignation, le point de contact du Responsable de traitement sera l’administrateur principal ou les administrateurs principaux du compte.

 

Chaque Partie s’engage à notifier sans délai à l’autre Partie tout changement d’interlocuteur.

 

 

Annexe – EXEMPTION CNIL

La Commission Nationale Informatique et Libertés (CNIL) a fixé les conditions de l’exemption au recueil du consentement des traceurs de mesure d’audience par  l’article 5 de la délibération CNIL n° 2020-091 du 17 septembre 2020 (lignes directrices). La CNIL fait également des recommandations au sein de l’article 5 de la délibération CNIL n° 2020-92 du 17 septembre 2020

 

1. Le cadre de l’exemption

 

• Caractère strictement nécessaire (§ 50 et 51 de la délibération n° 2020-091)

 

La condition première pour pouvoir utiliser des traceurs de mesure d’audience sans consentement est de s’assurer qu’ils soient strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, conformément à l’article 82 de la Loi Informatique et Libertés.

 

Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service, la CNIL souligne que ces traceurs doivent :

• avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consulté), pour le compte exclusif de l’éditeur ;
• ne pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web ;
• servir uniquement à produire des données statistiques anonymes ;
• ne pas conduire à un recoupement des données avec d’autres traitements ou à ce que les données soient transmises à des tiers.

 

• Autres recommandations faites par la CNIL (§ 50 de la délibération n°2020-92)

 

La CNIL recommande par ailleurs que

• les utilisateurs soient informés de la mise en œuvre de ces traceurs, par exemple via la politique de confidentialité du site ou de l’application mobile ;
• la durée de vie des traceurs soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de treize mois, et qu’elle ne soit pas prorogée automatiquement lors des nouvelles visites ;
• les informations collectées par l’intermédiaire de ces traceurs soient conservées pour une durée maximale de vingt-cinq mois ;
• les durées de vie et de conservation ci-dessus mentionnées fassent l’objet d’un réexamen périodique afin d’être limitées au strict nécessaire.

 

• Respect du RGPD (§ 52 de la délibération n° 2020-091)

 

Les traitements de mesure d’audience sont des traitements de données à caractère personnel. Par conséquent, le RGPD s’applique.

 

2. L’appréciation du caractère strictement nécessaire à la charge du Responsable de traitement

 

Le Responsable de traitement est seul responsable de l’appréciation du caractère strictement nécessaire.

Le Responsable de traitement doit documenter, et justifier en cas de contrôle, que la collecte et l’utilisation des données analytics répondent à des besoins « strictement nécessaires » au fonctionnement du périmètre exempté.

 

3. Guidelines du Sous-traitant

 

Afin d’aider le Responsable de traitement à respecter le caractère strictement nécessaire des traitements exemptés du recueil du consentement, le Sous-traitant propose les options/paramétrages suivants :

Options activables sur instruction du Responsable de traitement

• Le masquage par défaut des propriétés suivantes : ID visiteur/Code postal/Fournisseur d’accès internet/Visites converties (propriétés non accessibles depuis les interfaces). Le Responsable de traitement est en capacité de désactiver le masquage directement dans le data model.
• La suppression des données au-delà de 25 mois glissants ou d’une autre période déterminée par le Responsable de traitement.
• L’anonymisation du dernier octet (suppression des 3 derniers digits) de l’adresse IP. (paramétrage obligatoire)

 

Toutes ces options sont activées au niveau de l’organisation technique du Responsable de traitement. Ainsi, tous les sites attachés à l’organisation bénéficieront de la configuration choisie par le Responsable de traitement.

 

En cas d’activation des options (en totalité ou partiellement), un document sera signé entre les Parties pour justifier de la mise en place des instructions du Responsable de traitement.

 

Paramétrage à la disposition du Responsable de traitement

• Utiliser les méthodes de marquage adéquat à la gestion de l’Exemption CNIL notamment pour minimiser la collecte d’informations à ce qui est strictement nécessaire.
• Configurer le data model pour ne pas afficher des propriétés non désirées dans la Solution.

 

Par ailleurs, le Sous-traitant recommande au Responsable de traitement :

• d’effectuer la mesure d’audience exclusivement sur le site ou l’application : les mesures hors sites comme les impressions de bannières, les vidéos déportées, les ouvertures d’emailing ou les iframes ne sont pas possibles sans consentement préalable.
• de collecter et d’utiliser des données au sein de la Solution de façon à ne pas permettre de reconnaître un visiteur/un utilisateur : les données collectées doivent exclusivement servir à l’utilisation de statistiques anonymes ou de cohortes.
• de ne pas importer ou exporter des données à des fins de recoupements (ex. : AT Connect, import CRM, appels API alimentant des partenaires, API ou export Data Flow pour alimentation CRM)
• de configurer la durée de vie de vos traceurs (cookie ou mobile ID) à 13 mois fixes.
• de vérifier le niveau de géolocalisation strictement nécessaire à l’utilisation de votre service. Par défaut AT Internet propose le niveau « ville » au plus fin.
• d’informer vos utilisateurs de la présence de ce traceur exempté et mettre en place une fonctionnalité d’opt-out.

 

 

Le Sous-traitant ne peut en aucun cas voir sa responsabilité engagée :

• en cas de mauvaise appréciation par le Responsable de traitement du caractère strictement nécessaire des traitements mis en œuvre et exemptés du recueil du consentement.
• en cas de non-respect d’obligations et/ou recommandations à la charge du Responsable de traitement.
• pour respect des instructions communiquées par le Responsable de traitement.

 

Le hit désigne la requête HTTP (ou HTTPS, selon la configuration du Responsable de traitement) vers les serveurs du Sous-traitant généralement issue du marqueur Javascript ou du SDK mobile fourni par le Sous-traitant et contenant les données brutes de navigation de l’utilisateur.