ACCORD DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL

Version 3 : mai 2019

Préambule

Le présent accord s’applique au traitement de données à caractère personnel réalisé par le Client, en sa qualité de responsable de traitement (ci-après, le « Responsable de traitement ») et AT Internet, en sa qualité de sous-traitant (ci-après, le « Sous-traitant ») dans le cadre de la mise à disposition d’une solution de digital analytics. Le présent accord constitue un document indépendant visant à définir les obligations respectives des Parties afin d’assurer le respect de la législation en vigueur en termes de traitement de données à caractère personnel et de respect de la vie privée. Il ne comprend pas de dispositions commerciales convenues par ailleurs entre les Parties dans le cadre d’accords commerciaux distincts.

 

  • Article 1. Définitions

Aux fins du présent accord, les termes « données à caractère personnel », « traitement », « limitation du traitement », « fichier », « responsable de traitement », « sous-traitant », « destinataire », « tiers », « consentement », « violation de données à caractère personnel », « autorité de contrôle » ont la même signification que dans le Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »).

 

« Données » désigne l’ensemble des données définies ci-dessous :

  • Données Brutes : désigne les données collectées, avant enrichissement et calcul par AT Internet. Elles se composent du hit[1] et du header http contenant l’adresse IP, le User Agent, l’ID cookie et l’URL de la page qui a généré ce hit. Elles sont stockées sur les serveurs de fichiers d’AT Internet, dans des fichiers logs sécurisés pour une durée de six (6) mois. Ces données ne sont pas accessibles au Client.
  • Données Traitées : désigne les données accessibles au Client dans l’interface web sécurisée ou dans les exports (sous toutes leurs formes : Excel, CSV, Word ou encore via API) après calcul et enrichissement par AT Internet (géolocalisation, exclusion des robots, etc.).

 

  • Article 2. Respect des principes européens

Chaque Partie s’engage à respecter la législation applicable en matière de données à caractère personnel et de respect de la vie privée, et notamment le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et de la directive 2002/58/CE du Parlement Européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).

 

  • Article 3. Objet

Le présent accord a pour objectif de déterminer les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après pour la fourniture de la solution de digital analytics.

 

  • Article 4. Respect des instructions

Le Sous-traitant s’engage à traiter les Données conformément aux instructions du Responsable de traitement telles que déterminées dans le présent accord.

Il est rappelé que le Responsable de traitement bénéficie d’une solution SaaS de digital analytics développée par le Sous-traitant à l’attention de l’ensemble de ses clients. A ce titre, toute instruction spécifique particulière du Responsable de traitement sera soumise à la validation préalable du Sous-traitant qui se réserve le droit de facturer ou de refuser celle-ci en fonction des ressources nécessaires à sa mise en œuvre et/ou des possibilités d’intégration dans le socle technique de la solution.

Si le Sous-traitant estime qu’une instruction constitue une violation de la règlementation en vigueur, il en informe immédiatement le Responsable de traitement.

 

  • Article 5. Description des traitements faisant l’objet de la sous-traitance

5.1 Objet des traitements

Dans le cadre de la mise à disposition d’une solution de digital analytics en mode SaaS au Responsable de traitement, le Sous-traitant met en œuvre la collecte et le traitement des données sur la base du marquage implémenté par le Responsable de traitement afin de mesurer l’audience de ses sites internet, intranet et mobiles, ainsi que de ses applications mobiles ; le Responsable de traitement pourra également mesurer l’audience de sites tiers et applications mobiles tierces s’il y est dument autorisé par le propriétaire du site tiers et/ou applications mobiles tierces (le Responsable de traitement apportera la preuve de cette autorisation à première demande du Sous-traitant).

5.2 Finalité des traitements

La solution conçue par le Sous-traitant vise la production de données et d’analyses d’audience statistiques et de digital intelligence et leur restitution via une interface web sécurisée à la disposition du Responsable de traitement ou via export de ces données (sous toutes leurs formes : Excel, CSV, Word ou API).

En sus de la finalité principale énoncée ci-dessus, le Responsable de traitement peut souhaiter utiliser la solution de digital analytics pour des finalités accessoires autres, liées notamment au secteur d’activité du Responsable de traitement et/ou aux objectifs stratégiques numériques poursuivis par celui-ci.

5.3 Durée des traitements

Nonobstant la durée de conservation des données précisée à l’article 14 de l’accord, la collecte et le traitement de données personnelles perdurent pour la durée de la relation commerciale entre les Parties.

5.4 Personnes concernées

Les données à caractère personnel se rapportent aux catégories suivantes de personnes concernées :

  • Personnel autorisé du Responsable de traitement. Est entendu par personnel autorisé, les salariés du Responsable de traitement ainsi que toute personne physique mandatée par le Responsable de traitement pour utiliser la solution de digital analytics ou pour assurer la mise en œuvre de la relation commerciale avec le Sous-traitant (achats, gestion de projet, facturation, etc.).
  • Utilisateurs des sites web, mobiles et des applications mobiles audités par la solution de digital analytics du Sous-traitant.

5.5 Type de données à caractère personnel

Les données à caractère personnel se rapportent aux catégories de données suivantes :

  • Personnel autorisé du Responsable de traitement: nom, prénom, poste, email professionnel, téléphone professionnel, photographie, couple identifiant/mot de passe de connexion (haché) à la solution.
  • Utilisateurs des sites web, mobiles et applications mobiles:
  • Données nécessairement collectées par le marqueur pour atteinte de la finalité principale :
    • Adresse IP des visiteurs des sites web et mobiles audités ;
    • ID généré par le cookie AT Internet lors de son activation dans le navigateur web utilisé par le visiteur du site web audité ;
    • Mobile Identifier ;
    • Toute donnée de navigation se rapportant à ces identifiants.
  • Donnée créée par le Sous-traitant pour atteinte de la finalité principale :
    • ID Visiteur unique ;
    • Toute donnée de digital analytics calculée par le Sous-traitant se rapportant à cet identifiant.
  • Données éventuellement collectées par le marqueur pour des finalités accessoires propres au Responsable de traitement :
    • Coordonnées GPS des visiteurs des sites et applications mobiles audités (collecte non systématique mais fonction de l’implémentation de la solution par le Responsable de traitement) ;
    • ID Visiteur identifié (collecte non systématique mais fonction de l’implémentation de la solution par le Responsable de traitement) ;
    • ID Client (collecte non systématique mais fonction de l’implémentation de la solution par le Responsable de traitement) ;
    • Email recipient ID (collecte non systématique mais fonction de l’implémentation de la solution par le Responsable de traitement) 
    • Autre donnée à caractère personnel collectée via implémentation particulière de la solution par le Responsable de traitement ;
    • Toute donnée de digital analytics associée à ces identifiants ou ces données à caractère personnel.
  • Données éventuellement importées dans la solution par le Responsable de traitement pour des finalités accessoires propres au Responsable de traitement :
    • Toute donnée à caractère personnel détenue par le Responsable de traitement et importée par lui dans la solution de digital analytics et toute donnée de digital analytics associée à cette donnée à caractère personnel.

 

5.6 Nature des traitements

  • Personnel autorisé du Responsable de traitement :

Les traitements portant sur les données à caractère personnel du Personnel autorisé du Responsable de Traitement sont collectés et utilisés par le Sous-traitant pour assurer la mise en œuvre de la relation contractuelle (accès aux interfaces web sécurisées de la solution, commande, suivi de projet, facturation, etc.).

En outre, le Sous-traitant monitore l’utilisation de la solution par le personnel autorisé du Client, dans l’objectif d’amélioration des services et afin de conseiller au mieux le Responsable de Traitement dans l’utilisation de la solution.

Ces données sont conservées pour toute la durée de la relation commerciale augmentée de six (6) mois ou conformément aux délais légaux le cas échéant.

 

  • Solution de digital analytics :

La mise en œuvre du traitement réalisé par le Sous-traitant dans le cadre de la mise à disposition de sa solution de digital analytics en mode SaaS intervient comme suit :

  1. Le Responsable de traitement définit le périmètre des sites et applications sur lesquels il souhaite implémenter la solution et les objectifs attendus par l’utilisation de la solution de digital analytics du Sous-traitant. Il désigne un administrateur parmi son personnel autorisé.
  2. Le Sous-traitant communique des droits d’accès à l’administrateur désigné et met le marqueur AT Internet à la disposition de ce dernier dans son interface web sécurisée.
  3. Le Responsable de traitement, soit l’administrateur désigné, ou toute personne mandatée par lui et à qui il a ouvert des droits d’accès correspondants, implémente les marqueurs AT Internet dans les pages de ses sites web mobiles et dans ses applications mobiles.
  4. Un cookie est déposé sur le disque dur de l’utilisateur du site web du Responsable de traitement lors de sa visite avec un identifiant alphanumérique unique par le serveur du site web du Responsable de traitement ou par AT Internet en fonction de la technologie choisie, et en fonction du consentement de l’utilisateur du site web ou des cas d’exemption au recueil du consentement.
  5. Les marqueurs implémentés par le Responsable de traitement génèrent l’envoi automatique de Données Brutes vers les serveurs de collecte du Sous-traitant auxquels le Responsable de traitement n’a pas accès. Les Données Brutes sont temporairement stockées dans des serveurs de fichiers sécurisés. Elles contiennent différentes informations de connexion (nombre et durée des visites, nombres de clics, pages vues, etc.). Les Données Brutes contiennent également des données à caractère personnel relatives aux utilisateurs des sites web et applications mobiles audités, listées ci-après et détaillées du traitement apporté par défaut par le Sous-traitant :

 

A. Type de donnée collectée par défaut par le marqueur AT Internet

 

Afin de pouvoir déterminer qu’un même utilisateur de site web est à l’origine de plusieurs visites, le Sous-traitant utilise, en fonction du support visité, l’adresse IP et/ou l’ID Cookie et /ou le Mobile identifier du visiteur pour créer un identifiant numérique généré automatiquement, l’ID Visiteur Unique. Cet identifiant ne permet en aucun cas l’identification nominative de l’utilisateur du site web et n’est pas réversible : une fois déterminé, il est impossible pour le Sous-traitant de revenir à l’adresse IP, à l’ID Cookie ou au Mobile Identifier dont il est issu.

 

B. Type de donnée pouvant être collectée par le marqueur AT Internet à l’initiative du Responsable de traitement et pour des finalités accessoires qui lui sont propres :

 

En sus des données à finalité accessoire listées ci-dessus, le Responsable de traitement est techniquement en mesure d’implémenter le marqueur AT Internet de façon à collecter d’autres données à caractère personnel, comme notamment des données en provenance de formulaires complétés par l’utilisateur du site web ou de l’application audité. Les données ainsi collectées feront donc partie des Données Brutes, et sont également susceptibles d’être contenues dans les Données Traitées et, donc, d’être accessible depuis la solution.

Toutes les données d’audience, dès lors qu’elles se rapportent à l’un des identifiants énumérés ci-dessus doivent être considérées comme des données à caractère personnel. Elles sont conservées en base de données en tant que Donnée Traitée conformément aux dispositions de l’article 14. Elles sont accessibles via la solution et sont purgées conformément aux dispositions de l’article 14.

 

6. Le Sous-traitant effectue une première série de traitements sur les Données Brutes et les met dans un format utilisable par une base de données. De cette transformation résulte les Données Traitées. 

7. Le Responsable de traitement peut, s’il le souhaite, et dans la poursuite de finalités qui lui sont propres, enrichir les Données Traitées de données en provenance d’autres fichiers en sa possession.

8. Le Sous-traitant permet la restitution des analyses et données d’audience via une interface web sécurisée à laquelle seul l’administrateur du Responsable de traitement et les personnes autorisées par lui ont accès. Le Responsable de traitement accède alors aux Données Traitées. Le seul destinataire des traitements est le Responsable de traitement et plus particulièrement le personnel autorisé bénéficiant d’un droit d’accès à la solution.

Les Données ne sont transférées à aucun tiers, sauf à la demande expresse écrite préalable du Responsable de traitement, notamment dans le cadre de partenariats technologiques disponibles dans le cadre de la solution et retenus par le Responsable de traitement.

 

  • Article 6. Analyse d’impact et consultation préalable

Le Sous-traitant s’engage à apporter toute assistance nécessaire au Responsable de traitement si celui-ci doit mener à bien une analyse d’impact sur un traitement objet du présent accord. Si cette analyse d’impact indique que le traitement présente un risque élevé pour les droits et libertés des personnes concernées, le Sous-traitant apporte également une assistance au Responsable de traitement afin qu’il puisse répondre aux renseignements demandés par l’autorité de contrôle compétente en cas de consultation préalable à la mise en œuvre du traitement.

 

  • Article 7. Point de contact, Délégué à la Protection des Données (DPD)

Le Sous-traitant s’engage à nommer un Délégué à la Protection des Données (DPD) pour la durée de la relation contractuelle entre le Responsable de traitement et le Sous-traitant et à communiquer ses coordonnées au Responsable de traitement.

Le Responsable de traitement, s’engage à faire de même s’il entre dans les critères énoncés au RGDP et imposant la désignation d’un Délégué à la Protection des Données (DPD). A défaut, il communiquera les coordonnées de la personne en charge de traiter les questions liées à la protection des données personnelles et au respect de la vie privée.

 

Le Sous-traitant désigne l’interlocuteur suivant comme point de contact pour toute information ou notification en lien avec le traitement faisant l’objet de cet accord :

Nicolas Boudillon – Délégué à la Protection des Données

AT INTERNET SAS

85 avenue J F Kennedy 33700 Mérignac France

+33 (0)1 56 54 14 30 – dpo@atinternet.com

 

Le Responsable de traitement désignera son contact à la protection des données via une notification envoyée au centre support du Sous-Traitant. A défaut de désignation, le point de contact du Responsable de traitement sera l’administrateur du compte.

 

Chaque Partie s’engage à notifier sans délai à l’autre Partie tout changement d’interlocuteur.

 

  • Article 8. Licéité des traitements

Le Responsable de traitement garantit seul la licéité des traitements réalisés par le Sous-traitant. A ce titre, le Responsable de traitement s’engage d’une part à informer les utilisateurs des sites web, mobiles et des applications mobiles du service de digital analytics et d’autre part à recueillir valablement le consentement des personnes concernées lorsque ce consentement est requis et à les informer de leur droit de retirer leur consentement à tout moment.

 

Lorsque le Responsable de traitement utilise les cookies tiers AT Internet, le Sous-traitant s’engage à fournir au Responsable de traitement les moyens techniques permettant aux personnes concernées de s’opposer à la collecte et au traitement de leurs données à caractère personnel (opt-out), étant entendu que la mise à disposition de cette solution technique aux personnes concernées reste du ressort du Responsable de traitement.

Lorsque le Responsable de traitement utilise un cookie first pour la solution de digital analytics, il s’engage à mettre à disposition des personnes concernés son propre système d’opt-out.

 

  • Article 9. Obligation d’information

Le Responsable de traitement s’engage à informer les visiteurs des sites et applications audités de l’existence des traitements ainsi que des droits en résultant de façon concise, transparente, compréhensible et aisément accessible dans les conditions exposées aux articles 13 et 14 du RGPD.

Le Sous-traitant s’engage à coopérer avec le Responsable de traitement afin de l’aider à satisfaire à son obligation relative à l’information des personnes concernées et à répondre aux demandes d’information de la part du Responsable de traitement dans les plus brefs délais.

De la même façon, le Sous-traitant informe le public de son site internet des traitements qu’il peut être amené à mettre en œuvre pour ses responsables de traitements dans le cadre de la mise à disposition de sa solution de digital analytics.

 

  • Article 10. Exercice des droits des personnes concernées

Il est entendu que les personnes concernées sont libres d’exercer les droits que leur confère le traitement à l’égard de et à l’encontre du Responsable de traitement. Les Parties s’engagent à coopérer entre elles afin de permettre le traitement rapide et efficace de toute demande et d’être en mesure de répondre à la personne concernée dans le délai légal d’un (1) mois à compter de la réception de la demande.

 

Lorsque la demande est formulée à l’encontre du Responsable de traitement, et, dans l’hypothèse où ce dernier ne peut y donner suite sans le concours du Sous-traitant, le Responsable de traitement s’engage à solliciter le point de contact du Sous-traitant dans les plus brefs délais, par email à dpo@atinternet.com ou au centre support AT Internet, et dans un maximum de cinq (5) jours ouvrés suivant la réception de la demande. Le Responsable de traitement fournira au Sous-traitant tout élément indispensable à la compréhension et à l’examen de la demande. Le Sous-traitant fournira au Responsable de traitement les éléments requis dans un délai permettant au Responsable de traitement de répondre à la personne concernée dans le délai légal d’un (1) mois. Dans l’hypothèse où le Sous-traitant ne serait pas en mesure de fournir les informations requises au Responsable de traitement dans les temps, et/ou dans l’hypothèse où la fourniture de telles informations se révèle impossible, le Sous-traitant informera le Responsable de traitement de la nécessité d’obtenir un délai supplémentaire ou de l’impossibilité de répondre à la demande de la personne concernée.

 

Lorsque la demande est formulée à l’encontre du Sous-traitant et qu’elle vise uniquement un traitement réalisé pour le compte du Responsable de traitement, celui-ci s’engage à en informer le Responsable de traitement dans les meilleurs délais, par écrit et dans un maximum de cinq (5) jours ouvrés suivant la réception de la demande. Le Sous-traitant fournira au Responsable de traitement les éléments requis dans un délai permettant au Responsable de traitement de répondre à la personne concernée dans le délai légal d’un (1) mois. Dans l’hypothèse où le Sous-traitant ne serait pas en mesure de fournir les informations requises au Responsable de traitement dans les temps, et/ou dans l’hypothèse où la fourniture de telles informations se révèle impossible, le Sous-traitant informera le Responsable de traitement de la nécessité d’obtenir un délai supplémentaire ou de l’impossibilité de répondre à la demande de la personne concernée.

 

Lorsque la demande est formulée à l’encontre du Sous-traitant et qu’elle ne vise pas particulièrement un traitement réalisé pour le compte du Responsable de traitement, le Sous-traitant répondra directement à la personne concernée sans avoir besoin d’en informer le Responsable de traitement.

 

  • Article 11. Limitation des finalités

Les traitements mis en œuvre par le Sous-traitant ont pour finalité principale la mise à disposition d’une solution de digital analytics en mode SaaS au Responsable de traitement lui permettant de mesurer l’audience de ses sites internet, mobiles et de ses applications mobiles. La solution recueille des données statistiques d’audience sur les médias numériques qui sont ensuite reproduites sur une interface web sécurisée. Ces données permettent au Responsable de traitement d’améliorer notamment l’ergonomie de ses supports numériques, de son offre ainsi que la qualité de ses produits et services.

 

Le Responsable de traitement reste techniquement en mesure d’utiliser la solution pour des finalités accessoires qui lui sont propres. Dans ce cas, le Sous-traitant ne saurait être tenu responsable de toute utilisation de la solution et des données par le Responsable de traitement dans la poursuite de finalités autres que l’analyse statistique de l’audience de ses sites, et notamment en cas de collecte de données à caractère personnel non indispensables, en cas d’import de données à caractère personnel dans la solution et en cas de croisement des données issues de la solution avec des données ou systèmes propres au Responsable de traitement. Ainsi, si le Responsable de traitement va au-delà de la finalité principale, il sera seul responsable envers tout tiers ou toute autorité de contrôle.

 

  • Article 12. Minimisation des données

Le Responsable de traitement, via l’implémentation des marqueurs sur les sites et applications qu’il souhaite auditer ou via import de données dans la solution, a l’intégrale maîtrise technique du périmètre des Données.

 

Les données à caractère personnel telles qu’énumérées à l’article « 5.6 nature des traitements, A. Type de donnée collectée par défaut par le marqueur AT INTERNET » sont les seules données collectées par les marqueurs, strictement nécessaires à la fourniture de la solution de digital analytics et dont la collecte est pertinente et appropriée au regard de la finalité principale du traitement

 

 

En tout état de cause, la collecte ou l’import de catégories particulières de données à caractère personnel (article 9 du RGPD, données dites sensibles) ou de données relatives aux condamnations pénales et aux infractions (article 10 du RGPD) est strictement interdit.

 

Le Sous-traitant se réserve le droit d’effectuer des contrôles ponctuels et de demander au Responsable de traitement les finalités et raisons justifiant à son sens la collecte ou l’import de données à caractère personnel. Dans l’hypothèse où le Sous-traitant constate que la collecte et/ou l’import est disproportionné par rapport à la finalité avancée par le Responsable de traitement, que la finalité avancée par le Responsable de traitement a un lien insuffisant avec la fourniture d’une solution de digital analytics ou que le Responsable de traitement ne respecte pas l’interdiction relative aux catégories particulières de données à caractère personnel ou de données relatives aux condamnations pénales et aux infractions, le Sous-traitant se réserve le droit de demander au Responsable de traitement de mettre immédiatement fin à ce traitement, de suspendre les accès du Responsable de traitement à la solution et/ou de résilier le devis liant le Sous-traitant au Responsable de traitement au tort du Responsable de traitement.

 

  • Article 13. Exactitude des données

Le Responsable de traitement s’engage à prendre toutes les mesures raisonnables afin de s’assurer que les données à caractère personnel inexactes soient rectifiées ou effacées. Le Sous-traitant s’engage à coopérer avec le Responsable de traitement et à traiter les demandes de correction ou suppression émises par le Responsable de traitement et/ou par les utilisateurs de ses sites web, mobiles et applications mobiles.

 

  • Article 14. Limitation de la conservation

Les Données Brutes sont conservées par le Sous-traitant six (6) mois à compter de leur collecte. Cette durée de conservation a pour seul objectif la régénération des Données Traitées en cas d’incident dans les premiers traitements réalisés sur les Données Brutes.

Les Données Traitées sont conservées pour toute la durée de la relation commerciale augmentée de six (6) mois.

Toutefois, en fonction de ses besoins, le Responsable de traitement est libre de déterminer une autre durée de conservation pour les Données Traitées. Cette durée de conservation déterminée par le Responsable de traitement ne pourra en revanche être augmentée au-delà de six (6) mois après la fin de la relation commerciale.

Pour permettre au Sous-traitant de personnaliser la durée de conservation des Données Traitées, le Responsable de traitement via son administrateur doit faire une demande écrite au centre support du Sous-Traitant.

Au terme de la relation commerciale entre le Responsable de traitement et le Sous-traitant augmentée de six (6) mois et sous réserve de l’absence de litige avec le Responsable de traitement le Sous-traitant s’engage à détruire es Données du Responsable de traitement et à n’en conserver aucune copie. Le Responsable de traitement est libre de demander une suppression de ses données dès la fin du de la relation commerciale. 

 

  • Article 15. Intégrité, Confidentialité et Sécurité des données

Le Sous-traitant s’engage à assurer la sécurité des données à caractère personnel, et, plus globalement, la sécurité des Données du Responsable de traitement et à veiller à leur intégrité et à leur confidentialité. A ce titre, il s’engage à concevoir et mettre en œuvre toute mesure technique et organisationnelle utile afin de préserver la sécurité des données, de les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisé.

 

Les mesures techniques et organisationnelles doivent à minima comprendre :

  • La désignation d’un délégué à la protection des données, la sensibilisation de son personnel à la confidentialité des données personnelles et l’assujettissement du personnel à une stricte obligation de confidentialité ;
  • L’existence et la mise à jour régulière d’une politique de sécurité du système d’information ;
  • L’existence d’un plan de reprise d’activité permettant la continuité de service en cas d’incident ;
  • La réalisation régulière de tests d’intrusion et la mise en œuvre rapide de toute mesure corrective en cas de constat de défaillance ou de vulnérabilité.

 

Le Sous-traitant s’engage à limiter l’accès aux données à caractère personnel au seul personnel ayant besoin d’en connaitre et le Sous-traitant rappelle que le Responsable de traitement est seul responsable et gestionnaire des droits d’accès à la solution.

 

Le Responsable de traitement conserve le droit de réaliser un audit annuel de la solution afin de vérifier l’adéquation des mesures techniques et organisationnelles mises en œuvre par le Sous-traitant, sous réserve de notifier son intention dans un délai raisonnable (qui ne devra pas être inférieur à 10 jours ouvrés), de procéder à un tel audit durant les heures ouvrées du Sous-traitant. Les coûts de l’audit sont supportés par le Responsable de traitement et le Sous-traitant facturera au Responsable de traitement les éventuelles ressources humaines et machines sollicitées lors de l’audit par Responsable de traitement. Les résultats de ces audits seront sujet à une obligation de confidentialité à la charge des deux Parties.

 

  • Article 16. Protection des données dès la conception et par défaut

Le Sous-traitant s’engage à protéger les données à caractère personnel par défaut et dès la conception des traitements et des développements des fonctionnalités de la solution. Les méthodes pour y parvenir passent notamment par la nomination d’un Délégué à la Protection des Données ayant les compétences techniques requises, la sensibilisation des salariés à la protection des données et leur assujettissement à une stricte obligation de confidentialité.

 

  • Article 17. Sous-traitance

Le Sous-traitant peut faire appel à un autre sous-traitant (ci-après « le Sous-traitant ultérieur »), pour mener des activités de traitements spécifiques.

Les Sous-traitants ultérieurs actuellement utilisés par le Sous-Traitant sont listés à l’adresse suivante : https://atinternet.com/en/processor-sub-processor-information-parent-company/

En signant le devis qui fait référence au présent accord, le Responsable de Traitement déclare avoir consulté et accepté ladite liste :

 

Le Sous-traitant restera en tout état de cause seul responsable vis-à-vis du Responsable de traitement, de l’ensemble des obligations résultant du présent Accord. Il appartient au Sous-traitant initial de s’assurer que le sous-traitant ultérieur présente des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le Responsable de traitement de l’exécution par le Sous-traitant ultérieur de ses obligations.

 

Le Sous-traitant reste libre de modifier la liste des Sous-traitants Ultérieurs. Il doit cependant informer le Responsable de traitement préalablement à tout changement envisagé concernant l’ajout ou le remplacement d’autres Sous-traitants ultérieurs. Cette information doit indiquer clairement les activités de traitement sous-traitées et l’identité et les coordonnées du Sous-traitant ultérieur. Le Responsable de traitement dispose de huit (8) jours calendaires à compter de la date de réception de cette information pour présenter ces objections. Cette sous-traitance ne peut être effectuée que si le Responsable de traitement n’a pas émis d’objection pendant le délai convenu.

 

  • Article 18. Autorité de contrôle compétente

L’autorité de contrôle compétente en ce qui concerne les activités et traitements réalisés par le Sous-traitant est l’autorité de contrôle du ressort du Responsable de Traitement.

Les Parties s’engagent à coopérer avec l’autorité de contrôle compétente et à lui fournir sans délai toute information nécessaire à l’exercice de sa mission.

 

  • Article 19. Notification en cas de violation de données à caractère personnel

En cas de violation de données à caractère personnel, le Sous-traitant s’engage à notifier la violation au Responsable de Traitement dans les meilleurs délais après en avoir pris connaissance et dans les conditions de forme et de contenu requis par le RGPD, et ce afin de permettre au Responsable de traitement de notifier cette violation à l’autorité de contrôle compétente.

 

Le Responsable de traitement a la charge d’informer les personnes concernées dans les meilleurs délais, par exemple via la publication d’une communication sur les sites web, mobiles et applications mobiles source des données compromises.

 

  • Article 20. Responsabilité

Si le Responsable de traitement est tenu responsable, envers un tiers ou toute autorité de contrôle en vertu d’une décision définitive, de la violation des dispositions du présent Accord et/ou des dispositions légales et réglementaires en vigueur et que  cette violation est seule imputable au fait ou manquement du Sous-traitant, le Sous-traitant dédommagera le Responsable de traitement de tous les dommages directs subis et des frais de procédure, à l’exclusion de tous les dommages indirects tels que pertes d’exploitation, préjudices commerciaux, perte de clientèle, perte de commande, perte de bénéfice ou atteinte à l’image de marque, dans la limite de la plus faible des deux sommes entre : (i) la valeur annuelle de l’abonnement facturé au Responsable de traitement et payé par ce dernier et (ii) cent mille (100 000) euros.

 

La réparation du préjudice est subordonnée à ce que :

  • Le Responsable de traitement communique la plainte dans les meilleurs délais et au plus tard dans un délai d’un (1) mois à compter de sa réception par le Responsable de traitement au Sous-traitant ;
  • Le Sous-traitant se voie offrir la possibilité de coopérer avec le Responsable de traitement à la défense et au règlement de la plainte.

 

Si la violation du présent DPA ou le non-respect des dispositions légales et réglementaires en matière de protection des données à caractère personnel est imputable au Responsable de traitement, le Responsable de traitement sera seul responsable envers tout tiers et toute autorité de contrôle et la responsabilité du Sous-traitant ne pourra être engagée.

 

  • Article 21. Transfert en dehors de l’Union Européenne

Les données d’audience du Responsable de traitement, soit celles relatives aux visiteurs des sites et applications audités par la solution AT Internet, sont stockées en Union-Européenne. La solution étant fournie en mode SaaS, les données d’audience restent cependant accessibles par tout Personnel autorisé du Responsable de traitement disposant des droits d’accès et d’une connexion internet, quelle que soit sa localisation.

 

S’agissant des données relatives au Personnel autorisé du Responsable de traitement, le Sous-traitant est cependant autorisé par le Responsable de traitement à recourir à des moyens de traitement situés dans un pays tiers au sens du RGPD si le Sous-traitant respecte l’une des garanties suivantes :

  • la législation du pays tiers concerné offre un niveau de protection des données à caractère personnel adéquat et reconnu comme tel par une décision de la Commission Européenne ;
  • le Sous-traitant a conclu avec un sous-traitant ultérieur extra-européen un contrat de transfert de données à caractère personnel conforme aux modèles de clauses-type élaborés par la Commission Européenne ;
  • le Sous-traitant ultérieur extra-européen du Sous-traitant a souscrit à un mécanisme de transfert autorisé de données à caractère personnel validé par les institutions de l’Union européenne, tel que le « E.U.- U.S. Privacy Shield Arrangement » ;
  • le sous-traitant ultérieur extra-européen du Sous-traitant a adopté des «Binding Corporate Rules» validées par une autorité de protection des données personnelles européenne habilitée.

 

  • Article 22. Documentation et registre des activités de traitement

Le Sous-traitant déclare tenir un registre des traitements réalisés pour le compte du Responsable de traitement dans les conditions de formes et de contenus requis par le RGPD. Il met également à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits par le Responsable de traitement.

Top