1. Préambule
Notre « Politique RGPD » s’inscrit dans le cadre du respect de l’article 28 du Règlement général sur la protection des données à caractère personnel qui impose que soient définies un certain nombre de règles entre le responsable de traitement (vous) et le sous-traitant (nous).
2. Objet
La présente politique vise à définir nos droits et obligations respectifs au regard de la protection des données à caractère personnel.
3. Portée
La présente politique s’applique lorsque nous agissons comme « sous-traitant » au sens du RGPD. Certaines de nos prestations sont considérées comme relevant de la sous-traitance notamment mais non exclusivement : hébergement, maintenance, vidéosurveillance, centre d’appel, sécurité, etc…
La présente politique est considérée comme un document à valeur contractuelle qui s’impose aux parties et ne modifie pas pour autant les termes des contrats conclus.
En cas d’écart entre la présente politique et le ou les contrats conclus entre nous ou nos conditions générales/particulières, cette dernière primera s’agissant de la seule question du traitement des données à caractère personnel.
4. Identification du traitement
Il vous appartient d’identifier avec précision les traitements auxquels nous pouvons avoir accès. Pour plus de précisions sur la nature des opérations réalisées, les finalités du traitement, les données et personnes concernées, il est fait renvoi à notre contrat de prestations de services ou nos conditions générales/particulières.
5. Instructions du client
Au titre du RGPD, nous sommes tenus de vous informer immédiatement si l’une de vos instructions nous paraît constituer une violation de la règlementation en matière de données à caractère personnel. Nous ne serons pas tenus de satisfaire à de telles instructions.
6. Nos obligations
En notre qualité de sous-traitant nous nous engageons à :
- accéder et traiter vos données à caractère personnel conformément à vos instructions ;
- accéder et traiter vos données pour les seules prestations définies entre nous ;
- vous adresser sans délais toute demande émanant d’une personne concernée par un traitement qui nous aurait saisis directement afin que vous puissiez lui répondre en temps utile.
Afin de satisfaire aux obligations du RGPD, nous avons notifié à notre personnel un code de bonne conduite et mettons en oeuvre des mesures de sensibilisation régulières.
7. Vos obligations
En votre qualité de responsable de traitement, il vous appartient de nous communiquer par tout moyen les instructions que nous devons suivre dans le cadre de l’accès et le cas échéant de l’usage de vos données.
Les instructions fournies ne peuvent en aucun cas avoir pour objet ou pour effet de modifier le service auquel vous avez souscrit.
Vous vous engagez par ailleurs :
- à vous conformer à la règlementation applicable en matière de données à caractère personnel en votre qualité de responsable de traitement et nous tenir garant de toute poursuite où condamnation ;
- à garantir que les données auxquelles nous accédons ou que nous traitons pour votre compte sont les vôtres ou à défaut que vous disposez de toutes les autorisations nécessaires ;
- à nous faire part de toute évolution sur vos traitements de données qui pourraient avoir un impact sur la mise en oeuvre et le respect de la présente politique ;
- à nous fournir si vous en avez désigné un les coordonnées de votre DPO ou référent RGPD ;
- à nous fournir en tant que de besoin les informations nécessaires à la tenue de notre registre des traitements de données en qualité de sous-traitant.
8. Obligation de sécurité
Chaque partie met en oeuvre les mesures techniques et organisationnelles appropriées de nature à sécuriser et protéger les traitements de données à caractère personnel.
Nous vous proposons à ce titre une palette de solutions techniques et fonctionnelles mais vous êtes seul décisionnaire de la mise en oeuvre ou non de ces mesures.
Il vous appartient d’évaluer vos risques et la manière de les traiter.
Vous devez en permanence vous assurer que les profils utilisateurs sont correctement paramétrés – de même tous les codes doivent être paramétrés (ne pas conserver les codes constructeurs ou opérateurs) et modifiés de manière régulière. Vous devez porter une attention particulière a votre flotte mobile.
9. Violation de sécurité
Si nous identifions au sens de nos services une violation de sécurité, nous nous engageons à vous en aviser sans délais afin que vous puissiez réaliser vous-même la notification à la Cnil. Nous nous engageons à vous communiquer toutes les informations nécessaires pour satisfaire à cette obligation de notification.
En cas de violation de données à caractère personnel sur vos propres équipements, vous êtes tenu de nous en aviser sans délais si cette violation est susceptible d’impacter la fourniture de notre prestation.
10. Sous-traitance ultérieure
Vous nous autorisez à avoir recours à nos propres sous-traitants (sous-traitants ultérieurs). Nous vous garantissons que le sous-traitant que nous choisissons est lui-même conforme au RGPD.
11. Flux transfrontières
Nous nous réservons le droit de procéder, dans le cadre de nos prestations, à des flux de données transfrontières hors de l’EU, mais vous garantissons le respect par l’entité locale désignée (une filiale de notre société ou un prestataire tiers) du respect du droit des données à caractère personnel.
12. Fin du contrat
À l’expiration du contrat et au plus tard le dernier jour du contrat, il vous appartient de nous indiquer si nous devons supprimer ou vous restituer les données à caractère personnel. Une fois les données supprimées ou restituées nous n’en gardons aucune copie et ne serons donc pas en mesure de vous adresser une nouvelle copie des données.
13. Contrôle de la CNIL
Nous nous engageons à nous informer mutuellement d’un éventuel contrôle de la Cnil et prendrons, au besoin, les mesures nécessaires pour répondre aux questions posées par l’autorité de contrôle.
14. Audit
Vous pouvez auditer notre conformité aux obligations définies aux présentes une fois par an.
Sauf en cas de violation de sécurité avérée, cet audit est réalisé par la voie d’un questionnaire de conformité que vous voudrez bien nous adresser à la date d’anniversaire de notre contrat.
En cas de violation de données, cet audit peut être réalisé sous la forme d’une inspection sur place dont les conditions seront définies d’un commun accord.
15. Registre des traitements
En fonction des seuils définis par le RGPD, chaque partie est tenue pour ce qui la concerne de tenir un registre des opérations de traitements. Chaque partie s’engage à communiquer à l’autre, à première demande, toutes les informations nécessaires à la tenue dudit registre.
16. Responsabilité
Conformément à l’article 82 du RGPD, notre responsabilité en tant que sous-traitant ne peut être engagée que dans les cas limitatifs suivants :
- nous n’avons pas respecté les obligations prévues dans le RGPD qui nous incombent spécifiquement en tant que sous-traitants ou ;
- nous avons agi en-dehors de vos instructions documentées ou ;
- nous avons agi contrairement à vos instructions écrites.
Dans tous les cas, la réparation du préjudice et le plafond de réparation sont ceux définis dans notre contrat de prestation ou nos conditions générales/particulières.
17. Révision
En cas d’évolution règlementaire ou de recommandations de la Cnil, nous nous réservons le droit de modifier la présente politique. Toute nouvelle politique vous est notifiée avant son entrée en vigueur.