Avenant de protection des données RGPD
Parties :
ci-après dénommée " le Responsable ",
Et
ci-après dénommée « le Sous-traitant »
Considérant que :
les parties ont conclu un contrat à en date du aux termes duquel le Sous-traitant traite les données personnelles fournies par le Responsable visées à l'article 4, paragraphes 1 et 2, RGPD (ci-après "Contrat") ;
conformément à l'article 28, paragraphe 3, RGPD, les parties sont tenues de prendre des dispositions nécessaires à la protection des données à caractère personnel et de les fixer dans un avenant, ce qu'elles font dans le présent avenant (ci-après "Avenant") ;
les parties se communiqueront toutes les informations nécessaires en temps utile afin de permettre le respect de la législation et de la réglementation applicables en matière de protection des données à caractère personnel ;
les dispositions du présent accord sont applicables à tous les autres accords existant entre les parties, en ce qui concerne le traitement des données à caractère personnel. En cas de conflit avec un accord précédent, les dispositions du présent accord priment.
Les parties se sont accordées sur ce qui suit :
Article 1 - Durée de l'accord
Le présent Avenant entre en vigueur à la date de sa signature par les parties et prend fin après que le sous-traitant a effacé et/ou renvoyé toutes les données personnelles auxquelles le présent accord se rapporte conformément aux dispositions de l'article 13.
Cet Avenant reste en vigueur tant que le Contrat demeure en vigueur.
Les dispositions décrites à l'article 4 restent en vigueur après l'expiration du présent accord.
Article 2 - Objet de l'Avenant
Le Responsable a fourni au Sous-traitant les informations suivantes pour l'exécution de l'Avenant :
- le service rendu par le sous-traitant ;
- la nature et le but des traitements de données ;
- les catégories de données personnelles traitées ;
- les catégories de personnes dont les données sont traitées ;
- les catégories de destinataires / utilisateurs de données personnelles.
Le document contenant ces informations est joint en annexe du présent Avenant.
Article 3 - Traitement et utilisation des données personnelles
- Le Responsable détermine la finalité du traitement et les données personnelles traitées à cette fin.
- Le Responsable donne des instructions écrites au Sous-traitant.
- Le Sous-traitant n'utilise les données personnelles obtenues qu'aux fins pour lesquelles elles ont été fournies et uniquement selon les instructions écrites du Responsable.
- Si le Responsable ordonne un traitement des données personnelles qui serait contraire aux obligations légales du Sous-traitant, celui-ci en informe le Responsable et trouve une solution avec lui qui ne soit pas en conflit avec ses obligations légales.
- Le Sous-traitant ne doit pas traiter les données d’une façon contraire aux lois et règlements applicables, sous peine d’engager sa responsabilité.
- Le Sous-traitant ne fournira pas les données personnelles à des tiers, à moins que cela ne soit fait sur ordre du Responsable ou lorsque cela est nécessaire pour se conformer à une obligation légale.
-
Article 4 - Confidentialité
Le Sous-traitant doit prendre toutes les mesures nécessaires pour assurer la confidentialité des données du Responsable.
L'obligation énoncée au paragraphe 1 ne s'applique pas si le Responsable a donné l'autorisation écrite préalable de fournir les données personnelles à un tiers ou si le Sous-traitant est légalement tenu de le faire.
Le Sous-traitant imposera la même obligation de confidentialité à son personnel, ainsi qu’aux personnes ou sous-traitants engagés à cet effet.
Article 5 - Sécurité
Le Responsable et le Sous-traitant prendront les mesures techniques et organisationnelles appropriées visées à l'article 32 du RGPD afin de garantir un niveau de sécurité adapté aux risques.
La Responsable informe le Sous-traitant des exigences juridiques de fiabilité applicables au traitement en fonction des conséquences possibles pour les parties concernées, telles que la perte, la corruption ou le traitement illicite, et fournit toutes les informations nécessaires pour permettre au Sous-traitant de s’y conformer.
Si le Responsable veut un niveau de sécurité supérieur à celui requis par la loi, le Sous-traitant peut facturer les coûts supplémentaires au Responsable.
Le Sous-traitant, lorsqu'il prend des mesures de sécurité, tient compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte, des objectifs de traitement, de la probabilité et de la gravité des différents risques pour les personnes prévus à l'article 28, paragraphe 3, du RGPD.
Si le Responsable souhaite procéder à une évaluation des traitements prévus par l'Avenant, le Sous-traitant doit coopérer pour effectuer cette évaluation conformément à la législation et à la réglementation applicables.
Le Sous-traitant coopère dans le cadre d'une consultation préalable avec l'autorité française de protection des données.
Article 6 - Audit
Le Responsable a le droit d'effectuer un audit annuel à ses propres frais afin de vérifier l’application conforme de cet Avenant par le Sous-traitant.
Le Sous-traitant accorde toute l'aide nécessaire à la réalisation de l'audit visé à l'alinéa 1 ci-dessus, par exemple en accordant l'accès aux bases de données et en mettant à disposition toutes les informations pertinentes.
Le Sous-traitant devra exécuter les recommandations issues de l'audit du Responsable dès que possible.
Si les ajustements prévus à l'alinéa 3 ci-dessus résultent d'une modification des connaissances techniques ou de la législation, les coûts raisonnables pour ces ajustements sont supportés par le Responsable.
Si les ajustements prévus à l'alinéa 3 ci-dessus résultent d'une lacune dans le respect des exigences de sécurité convenues, les coûts sont supportés par le Sous-traitant.
Si l'autorité française de protection des données ou une autre autorité compétente souhaite mener une enquête, le Sous-traitant doit coopérer avec elle et informer le Responsable dans les meilleurs délais.
Article 7 - Violation de données à caractère personnel
Si une violation de données, telle que définie à l'article 4, alinéa 12 du RGPD, survient, le Sous-traitant en informe le Responsable de la manière prévue à l'article 8.
Dans le cas d'une violation de données, le Sous-traitant prend toutes les mesures raisonnables et nécessaires pour limiter les conséquences et prévenir une nouvelle fuite.
Le Sous-traitant fournit au Responsable toute l'assistance nécessaire pour évaluer l'ampleur et les conséquences de la violation de données et pour se conformer à l’obligation de déclaration concernant les atteintes à la protection des données et au devoir d'information des personnes concernées.
Les parties ont convenu de la procédure à suivre en cas de violation de données dans une procédure de déclaration des fuites de données décrite à l'article 8. Cette procédure peut être adaptée si l'état de la technique l'exige ou si la réglementation relative à l'obligation de déclaration change.
Article 8 - Procédure de signalement des fuites de données
Article 9 - Demandes des parties intéressées
Toute demande d’accès, de rectification, d’effacement des données, de limitation ou d’opposition au traitement, ainsi que de portabilité des données, telle que visée aux articles 15 à 21 du RGPD que le Sous-traitant reçoit, doit immédiatement être transmise au Responsable.
Le Sous-traitant coopère avec le Responsable pour que celui-ci puisse se conformer à la demande visée à l'alinéa 1 ci-dessus dans les délais légaux impartis.
Le Responsable remboursera au Sous-traitant les coûts raisonnables que cette coopération implique.
Article 10 - Sous-traitants
Le Sous-traitant est responsable des actions des sous-traitants qu’il engage.
Si un de ses sous-traitants engage un sous-traitant, il est obligé de stipuler que ce nouveau sous-traitant devra remplir toutes les obligations imposées au Sous-traitant par le présent accord et conclura un accord avec les sous-traitants concernés conformément à cet accord.
Article 11 - Accès aux données personnelles
Le Sous-traitant veille à ce que le Responsable conserve à tout moment l'accès aux données personnelles pertinentes, même en cas de faillite ou de suspension des paiements.
Article 12 - Responsabilité et indemnité
Le Sous-traitant n'est pas responsable des dommages résultant de violations de ses obligations légales par le Responsable.
Le Responsable indemnise le Sous-traitant des réclamations de tiers et des frais encourus par le Sous-traitant à la suite d'une violation visée au paragraphe 1.
Le Responsable n'est pas responsable des dommages résultant de la violation de ses obligations légales par le Sous-traitant.
Le Sous-traitant indemnise le Responsable contre les réclamations de tiers et les frais encourus par le Responsable du fait d'une violation visée au paragraphe 3.
Article 13 - Résiliation et conséquences de la résiliation
En cas de non-respect des obligations contractuelles par l’une ou l’autre des parties, le présent Avenant et le Contrat pourront être résiliés de plein droit, TRENTE (30) jours après l'envoi d’une lettre recommandée avec accusé de réception de mise en demeure restée infructueuse, et ce sans préjudice de tous dommages et intérêts qui pourraient être réclamés à la partie défaillante.
Le Sous-traitant devra transmettre à titre gratuit toutes les données personnelles qui lui ont été fournies au Responsable ou à un tiers prévu par le Responsable, ainsi que toutes ses données restantes et de celles de ses éventuels Sous-traitants.
À la demande du Responsable, le Sous-traitant met les données à caractère personnel qui lui sont fournies à disposition dans un format différent de celui dans lequel elles ont été fournies contre le paiement des frais raisonnables.
Après avoir transféré les données au Responsable, le Sous-traitant devra les détruire.
Au lieu de transférer les données, le Responsable peut également demander au Sous-traitant de détruire les données.
La destruction des données visées au paragraphe 3 ne peut avoir lieu qu'après autorisation préalable écrite du Responsable.
Toutefois, les dispositions de l'article 4 restent pleinement en vigueur.
Article 14 - Conséquences de la nullité ou de l'annulation
Si un article de l'Avenant est écarté ou réputé non écrit, cela n'affectera pas les autres dispositions de l'Avenant. L’article sera dans ce cas remplacé par une disposition qui se rapproche le plus de la volonté des parties lors de la conclusion de l'Avenant.
Article 15 - Loi applicable et tribunal compétent
La loi française s'applique à cet Avenant.
Tous les litiges survenant dans le cadre du présent accord, qui ne peuvent être résolus à l'amiable, sont renvoyés devant le tribunal compétent.
Fait à , le ,
Un exemplaire est remis à chacune des parties.
Le client
Le sous-traitant