27 RUE DES DEUX CANONS,
97490 SAINT-DENIS,
LA RÉUNION
Addendum relatif au traitement des données
DPA - B&B WEB EXPERTISE
Dans le cadre des relations contractuelles entre B&B WEB EXPERTISE (BNB) et le client, les parties s’engagent à respecter la réglementation en vigueur relative aux traitements de données à caractère personnel, notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après RGPD).
Cet addendum vise à encadrer et préciser les modalités du traitement des données à caractère personnel (ci-après « le traitement sous-traité ») que BNB (ci-après « le sous-traitant ») s’engage à effectuer au nom et pour le compte du client (ci-après « le responsable du traitement »).
Le responsable du traitement et le sous-traitant sont ci-après dénommés conjointement les « parties ».
Ce document est intégré aux Conditions Générales de Ventes de BNB : il annule, remplace et prévaut sur toutes les dispositions relatives à la protection des données à caractère personnel convenues entre les parties, notamment dans les CGV génériques. Les autres dispositions et clauses spécifiques du contrat conclu entre le responsable du traitement et le sous-traitant restent inchangées.
Lexique
Dans le cadre du présent document, les termes suivants s’entendent ainsi :
« Responsable du traitement » : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.
« Sous-traitant » : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
« Les Parties » : désigne collectivement le responsable du traitement et le sous-traitant, chacun représenté par son représentant légal ou toute personne dûment habilitée à engager juridiquement la partie qu’elle représente.
« Données à caractère personnel » (ci-après « données ») : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« Traitement »: désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données ou des ensembles de Données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Table des matières
I. DESCRIPTION DU TRAITEMENT SOUS-TRAITÉ
2. Données à caractère personnel traitées
4. Catégories de personnes concernées
II. ENTRÉE EN VIGUEUR ET MODIFICATION DE L’ADDENDUM
III. OBLIGATIONS DU SOUS-TRAITANT
Traitement des données selon les finalités
3. Confidentialité des données
4. Principes de protection des données
6. Droit d’information des personnes concernées
7. Exercice des droits des personnes
8. Notification des violations de données à caractère personnel
10. Délégué à la protection des données
12. Mesures de sécurité techniques et organisationnelles
14. Documentation et droit d’audit du responsable de traitement
I. DESCRIPTION DU TRAITEMENT SOUS-TRAITÉ
1. Service fourni
Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir les services de développement sur mesure, de maintenance des solutions développées et d’hébergement des données et services exploités par les solutions développées tel que prévu par le contrat conclu entre les parties.
2. Données à caractère personnel traitées
Les données à caractère personnel traitées sont précisées au cas par cas pour chaque contrat conclu entre les parties. Il peut s’agir notamment des catégories identifiées par la CNIL telles que :
- Données courantes
- Identité : nom(s), prénom(s), sexe, date et lieu de naissance, nationalité, adresse mail, numéros attribués par les organismes d’assurances sociales, de retraite et de prévoyance
- Vie personnelle : situation familiale / matrimoniale
- Vie professionnelle : lieu de travail, numéro d’identification interne/matricule, date d’entrée dans l’entreprise, ancienneté, titre, emploi occupé, catégorie professionnelle, classification, niveau et coefficient hiérarchique, service/département, type de contrat de travail, date du contrat, période d’essai
- Informations d’ordre économique et financier : éléments de rémunérations (salaire, avantages, primes, congés, absences, RTT, frais professionnels, cotisations sociales, etc.), coordonnées bancaires, données de prélèvement à la source
- Données de localisation : adresse postale
- Identité : nom(s), prénom(s), sexe, date et lieu de naissance, nationalité, adresse mail, numéros attribués par les organismes d’assurances sociales, de retraite et de prévoyance
- Données sensibles
- Appartenance syndicale : statut de délégué / représentant syndical
- Santé : copies des arrêts de travail, aptitudes des médecins du travail, statut de travailleur handicapé, taux d’incapacité / invalidité
- Mineurs : enfants à charge (nom(s), prénom(s), sexe, date de naissance)
- Appartenance syndicale : statut de délégué / représentant syndical
- Données particulières
- Numéro de sécurité sociale (NIR)
- Données relatives à des infractions et condamnations pénales
- Numéro de sécurité sociale (NIR)
3. Finalités des traitements
Les finalités des traitements pourront être précisées au cas par cas pour chaque contrat conclu entre les parties. De manière générale, elles s’expriment comme suit.
Développement d’application sur-mesure :
Les finalités du traitement sous-traité dans le cadre du développement d’une application informatique sur-mesure consistent à concevoir, produire et configurer une solution logicielle personnalisée répondant aux besoins spécifiques définis par le responsable du traitement. Les données personnelles fournies par le responsable du traitement peuvent être utilisées à des fins d’intégration dans les bases de données, de paramétrage, de tests fonctionnels ou de validation en conditions réelles, conformément aux objectifs convenus. Les solutions sont développées avec des mesures de sécurité adaptées pour garantir la confidentialité et l’intégrité des données.
Maintenance des applications
Les finalités du traitement sous-traité pour la maintenance des applications consistent à assurer le bon fonctionnement, la mise à jour et la correction d’éventuelles anomalies ou vulnérabilités des applications développées. Les données personnelles traitées dans ce cadre sont uniquement manipulées dans le strict respect des nécessités techniques et des instructions du responsable du traitement, dans le but de garantir la sécurité, la disponibilité et la continuité des services.
Hébergement des applications
Les finalités du traitement sous-traité dans le cadre de l’hébergement des applications visent à assurer le stockage sécurisé, la mise à disposition et l’accès aux données personnelles nécessaires au fonctionnement des applications. Ces traitements incluent la gestion des infrastructures techniques, la sauvegarde des données, ainsi que la mise en œuvre de mesures de sécurité adaptées pour garantir la confidentialité, l’intégrité et la disponibilité des données.
4. Catégories de personnes concernées
Les catégories de personnes concernées par le traitement sous-traité sont précisées au cas par cas pour chaque contrat conclu entre les parties.
II. ENTRÉE EN VIGUEUR ET MODIFICATION DE L’ADDENDUM
Le présent addendum entre en vigueur à compter de sa notification au responsable du traitement et pour toute la durée du contrat conclu entre les parties.
Le sous-traitant se réserve le droit de modifier le présent addendum afin de se conformer à une toute évolution de la réglementation relative à la protection des données à caractère personnel.
Toute modification entrera en vigueur à compter de sa notification au responsable du traitement.
III. OBLIGATIONS DU SOUS-TRAITANT
Traitement des données selon les finalités
Le sous-traitant s’engage à traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance et indiquées au I. 3.
1. Instructions
Le sous-traitant s’engage à traiter les données conformément aux instructions documentées du responsable du traitement. Le sous-traitant ne doit notamment pas divulguer ou rendre accessible des données à des tiers ; détruire ou altérer des données ; copier ou dupliquer des données au-delà de la mesure nécessaire à l’exécution des instructions ou du contrat conclu entre les parties.
Si le sous-traitant considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable du traitement. Le sous-traitant est en droit de suspendre le traitement correspondant à l’instruction concernée jusqu’à ce qu’elle ait été confirmée ou modifiée par le responsable du traitement.
2. Lieu du traitement
Le sous-traitant s’engage à ce que le traitement sous-traité se déroule depuis un Etat membre de l’Union européenne ou de l’Espace Economique Européen.
Tout transfert de données vers un pays tiers ne peut se faire qu’avec l’accord préalable écrit du responsable du traitement et à condition que les exigences spécifiques des articles 44 et suivants du RGPD soient remplies.
Si le Sous-Traitant est tenu de procéder à un transfert de Données vers un pays tiers ou une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable du Traitement de cette obligation juridique avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
3. Confidentialité des données
Le sous-traitant s’engage à garantir la confidentialité des données et veiller à ce que toutes les personnes qui sont autorisées à traiter les données :
- s’engagent à respecter la confidentialité des données ou sont soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
4. Principes de protection des données
Le sous-traitant s’engage à prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
5. Sous-traitance ultérieure
Liste des sous-traitants ultérieurs
Le présent document inclut la liste des sous-traitants ultérieurs déclarés par le sous-traitant principal et reconnus conformes aux exigences légales applicables, y compris celles prévues par le Règlement Général sur la Protection des Données (RGPD). Cette liste couvre également les sous-traitants situés en dehors de l’Union européenne, sous réserve de la mise en place de garanties appropriées telles que les Clauses Contractuelles Types ou tout autre mécanisme de transfert approuvé conformément aux dispositions de l’article 46 du RGPD.
Toute modification ou ajout à cette liste fera l'objet d'une notification préalable au responsable de traitement, permettant à ce dernier de formuler une objection motivée dans un délai convenu.
- Google, pour son service Google Workspace (Gmail, Drive, etc) utilisé par BNB pour sa messagerie et sa base documentaire.
Voir : https://business.safety.google/processorterms/ - Slack, pour son service de messagerie interne utilisé par BNB pour la communication instantanée (chat, audio, vidéo) entre les employées ou assimilés.
Voir : https://slack.com/intl/fr-fr/trust/privacy/privacy-policy?geocode=fr-fr - Mailchimp, pour son service Mandrill d’emails transactionnels utilisé par BNB pour optimiser la délivrabilité des messages transmis par les applications.
Voir : https://mailchimp.com/fr/legal/data-processing-addendum/ - Laravel Forge, utilisé par BNB pour le pilotage du déploiement des applications et la planification des sauvegardes de base de données.
Voir : https://forge.laravel.com/data-processing-agreement - OVH cloud, pour son service Bare Metal et Stockage Objet utilisés par BNB pour d’une part l’exploitation d’une infrastructure Cloud Privé et d’autre part le stockage de document encryptés au repos.
Voir : https://www.ovhcloud.com/fr/personal-data-protection/gdpr/ - Cloudflare, pour son service Edge Computing (CDN, Workers, KV, Durable Objects) utilisé par BNB pour la mise en œuvre de solutions nécessitant une haute résilience à la charge, un déploiement global ou des besoins spécifiques identifiés dans le contrat conclu entre les parties.
Voir : https://www.cloudflare.com/fr-fr/cloudflare-customer-dpa/ - LastPass, utilisé par BNB pour le stockage sécurisé des données de connexion transmises par le responsable du traitement des données ou généré pour les besoins du contrat.
Voir : https://drive.google.com/file/d/129zv7zzIbVZyIRZoMeqn0_FGisjeIfzp/view - Hubspot, pour son service de ticketing utilisé par BNB pour assurer le suivi des demandes d’assistance et de support (maintenance corrective et évolutive)
Voir: https://legal.hubspot.com/fr/dpa
Garanties associées
Le sous-traitant s’engage à ne faire appel à un autre sous-traitant (ci-après « le sous-traitant ultérieur ») qu’après avoir, préalablement et par écrit, informé le responsable du traitement et obtenu son consentement. Le consentement du responsable du traitement ne doit pas être indûment refusé, sous réserve du respect des dispositions mentionnées ci-dessous.
Le sous-traitant initial doit fournir au responsable du traitement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant ultérieur et les dates du contrat de sous-traitance.
Le sous-traitant initial veille au respect, par le sous-traitant ultérieur, d’obligations contractuelles au moins aussi contraignantes que celles résultant du contrat conclu entre les parties. Il s’assure également que le sous-traitant ultérieur présente les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.
Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par le sous-traitant ultérieur de ses obligations.
Le responsable du traitement a le droit de se faire communiquer et d’auditer la documentation contractuelle pertinente entre le sous-traitant initial et le sous-traitant ultérieur. Le sous-traitant initial doit garantir le droit d’audit du responsable du traitement dans les conditions prévues au III. 17. du présent addendum.
Le responsable du traitement peut à tout moment retirer le consentement accordé pour le recrutement de sous-traitants ultérieurs, pour motif légitime. Un tel motif est notamment caractérisé en cas de doute justifié sur le respect, par le sous-traitant ultérieur, de la réglementation applicable en matière de protection des données ou des exigences contractuelles résultant du contrat conclu entre les parties. Dans ce cas, le sous-traitant s’engage à :
- informer sans délai le sous-traitant ultérieur concerné et mettre fin à son intervention dans les meilleurs délais raisonnables, sauf si une alternative acceptable est convenue avec le responsable du traitement.
- prendre toutes les mesures nécessaires pour transférer les activités confiées au sous-traitant ultérieur à un autre prestataire approuvé ou les internaliser, conformément aux instructions du responsable du traitement.
Impact sur les coûts : Si le retrait du consentement entraîne pour le sous-traitant des coûts supplémentaires significatifs (par exemple : développement spécifique, migration de données, remplacement du sous-traitant ultérieur), ceux-ci feront l’objet d’une facturation supplémentaire au responsable du traitement. Cette facturation sera justifiée par un devis préalable soumis à l’approbation du responsable du traitement.
En cas de désaccord sur le devis ou les coûts associés, les parties s’engagent à trouver une solution raisonnable dans un délai défini, afin de garantir la continuité des services sans préjudice pour les données traitées.
6. Droit d’information des personnes concernées
Si le sous-traitant collecte directement des données à caractère personnel auprès des personnes concernées, il s’engage à leur fournir, au moment de la collecte, l’information relative aux opérations de traitement réalisées, conformément aux instructions du responsable du traitement.
7. Exercice des droits des personnes
Dans la mesure du possible, le sous-traitant doit aider le responsable du traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement, d’opposition, droit à la limitation du traitement, à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées font auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes, dès réception, au responsable du traitement qui est seul responsable de la gestion de ces demandes.
Si le responsable du traitement le demande expressément, le sous-traitant s’engage à répondre, au nom et pour le compte du responsable de traitement, selon le format déterminé par ce dernier et dans les délais prévus par le RGPD, aux demandes d’exercice des droits, s’agissant des données faisant l’objet du traitement sous-traité.
8. Notification des violations de données à caractère personnel
En cas de violation de données à caractère personnel (perte, modification, divulgation, destruction, accidentelles ou illicites), le sous-traitant s’engage, au plus tard dans les 24 heures après en avoir pris connaissance, à en aviser par notification le responsable du traitement et à prendre toutes les mesures nécessaires, y compris celles indiquées par le responsable du traitement, pour mettre fin à la violation et en atténuer l’impact. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable du Traitement, si nécessaire, de notifier la Violation à l’autorité de contrôle compétente.
Le sous-traitant s’engage à investiguer pour fournir au responsable de traitement la documentation utile, comprenant a minima la cause et la description de la violation, les catégories de données concernées, les catégories et le nombre approximatif de personnes concernées, une description des conséquences probables de la violation et une description des mesures prises ou que le sous-traitant propose de prendre pour remédier à la violation et, le cas échéant, atténuer les éventuelles conséquences négatives.
Si, il n’est pas possible de fournir toutes ces informations en même temps, celles-ci peuvent être communiquées de manière échelonnée sans retard indu.
Aide du sous-traitant dans le cadre du respect par le responsable du traitement de ses obligations.
Le sous-traitant s’engage à traiter rapidement et correctement toutes les demandes de renseignement du responsable de traitement relatives au traitement des données.
A la demande du responsable du traitement, le sous-traitant peut aider celui-ci :
- à informer les personnes concernées par une violation de données à caractère personnel ;
- à constituer le registre de ses activités de traitement ;
- pour la réalisation d’analyses d’impact relatives à la protection des données ;
- pour la réalisation d’une consultation préalable de l’autorité de contrôle ;
- dans le cadre de la défense de ses droits, contre les réclamations fondées sur une violation, alléguée ou réelle, des exigences en matière de protection des données.
9. Autorité de contrôle
Le sous-traitant s’engage à se soumettre aux enquêtes, avis et mesures des autorités ou organismes compétents concernant les traitements de données effectués dans le cadre du contrat conclu entre les parties et les manquements à la réglementation civile, pénale ou administrative liée à ces traitements. Dans ce cas, le sous-traitant s’engage à en informer immédiatement le responsable du traitement et à suivre ses instructions, dans la mesure autorisée par la loi.
Lorsque le responsable du traitement fait l’objet d’une inspection par l’autorité de contrôle, d’une procédure administrative, pénale ou en référé, d’une action en responsabilité par une personne concernée ou un tiers, ou de tout autre réclamation relative au contrat conclu entre les parties, le sous-traitant doit tout mettre en œuvre pour assister le responsable du traitement.
En outre, le sous-traitant est chargé de démontrer aux autorités ou organismes compétents que le responsable du traitement et le sous-traitant ont agi conformément à la réglementation sur la protection des données en vigueur dans le cadre des activités de traitement.
Si le sous-traitant est tenu de fournir des informations ou d’exécuter tout autre obligation envers une autorité ou un organisme compétent en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il s’engage à ne le faire qu’après consultation préalable du responsable du traitement, sauf si une telle consultation est interdite par une décision de justice.
Le cas échéant, le sous-traitant informera le responsable du traitement d’une telle obligation et lui fournira toutes les informations pertinentes pour déterminer si la fourniture de données peut avoir lieu et, dans l’affirmative, dans quelles conditions.
10. Délégué à la protection des données
Le sous-traitant n’est pas dans l’obligation de nommer un délégué à la protection des données.
Le point de contact du sous-traitant est M. Jérémy GAULIN, Directeur Technique, joignable aux coordonnées suivantes :
- n° tél. : 0262.312.607
- adresse e-mail : dpo@bnb.re
Le responsable du traitement sera informé immédiatement en cas de changement de point de contact.
11. Registre(s) de traitement
Le sous-traitant déclare tenir un registre de toutes les activités de traitements réalisées pour le compte du responsable du traitement, comprenant :
- Nom et coordonnées du responsable du traitement, des sous-traitants ultérieurs, le cas échéant, de leurs représentants et délégués à la protection des données ;
- Les catégories de traitements effectués pour le compte du responsable du traitement
- Sous réserve d’autorisation préalable du responsable du traitement, les transferts de données vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49 §1 al.2 du RGPD, les documents attestant de l’existence de garanties appropriées ;
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32 §1 du RGPD.
12. Mesures de sécurité techniques et organisationnelles
Conformément aux articles 28 et 32 du RGPD, le sous-traitant s’engage à mettre en œuvre et à documenter les mesures de sécurité techniques et organisationnelles. Celles-ci seront définies au cas par cas pour chaque contrat conclu entre les parties parmi les suivantes :
- pseudonymisation et chiffrement des données à caractère personnel ;
- anonymisation, dès leur réception, des données à caractère personnel qui ne sont pas nécessaires à l’exécution du contrat conclu entre les parties ;
- moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement ;
- moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
- réalisation de tests d’intrusion réguliers ;
- procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ;
- surveillance périodique des processus internes et des mesures de sécurité pour garantir la conformité du traitement sous-traité aux exigences de la réglementation applicable en matière de protection des données et au contrat conclu entre les parties.
Les détails des mesures techniques et organisationnelles que le sous-traitant met en œuvre sera fourni au responsable du traitement sur demande écrite de sa part.
13. Sort des données
Au terme de la prestation de service relative au traitement sous-traité ou, plus tôt, sur demande du responsable du traitement, et, au plus tard, à la résiliation du contrat conclu entre les parties, le sous-traitant s’engage, au choix du responsable de traitement, à :
- restituer les données au responsable du traitement, sous un format assurant l’exploitabilité, la fiabilité et la confidentialité des données ;
- renvoyer les données au sous-traitant désigné par le responsable du traitement, sous un format assurant l’exploitabilité, la fiabilité et la confidentialité des données ;
- détruire toutes les données sous un délai de maximum 3 mois après la date de fin du contrat conclu entre les parties (avec justification écrite de la destruction, envoyée au responsable du traitement).
La restitution au responsable du traitement ou le renvoi à un sous-traitant doit s’accompagner de la destruction de toutes les copies de données détenues par le sous-traitant. Pour les besoins du présent alinéa, le terme « données » recouvre toutes les données, documents, résultats de traitement et toutes les utilisations de données liées au traitement sous-traité. Le registre des éléments détruits ou supprimés sera fourni au responsable du traitement sur demande.
Si, en raison d’une obligation légale, le sous-traitant se trouve dans l’impossibilité de procéder à la restitution ou la destruction de tout ou partie des données, il doit en informer le responsable du traitement par écrit le plus rapidement possible, en fournissant toutes les informations pertinentes pour déterminer si la destruction peut avoir lieu, et dans l’affirmative, dans quelles conditions.
En cas d’interdiction de détruire tout ou partie des données, le sous-traitant continuera à assurer la confidentialité des données et ne les traitera plus que dans la mesure où cela est strictement nécessaire pour se conformer à l’obligation légale, comme ci-dessus mentionné, ou sur instruction du responsable du traitement.
14. Documentation et droit d’audit du responsable de traitement
Le sous-traitant s’engage, sans que cela n’ouvre droit à un quelconque complément de rémunération, à mettre à la disposition du responsable du traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits, sous réserve du respect d’un préavis raisonnable.
En particulier, le responsable du traitement pourra solliciter du sous-traitant :
- une description écrite de son système de sécurité et une analyse du risque en lien avec les données, ainsi qu’un descriptif des mesures de sécurité mises en place ;
- un accès aux données traitées dans des conditions permettant d’en assurer l’intégrité et la confidentialité.
S’il apparaît, à la suite d’un audit, que les obligations visées par le contrat conclu entre les parties ou le présent addendum ne sont pas respectées, le responsable du traitement informera le sous-traitant des problèmes de sécurité identifiés. Le sous-traitant s’engage alors, à ses frais, à rectifier ces problèmes dans un délai raisonnable qui ne peut être inférieur à 24 heures suivant l’information du sous-traitant.
15. Dédommagement
Le sous-traitant indemnisera le responsable du traitement de l’ensemble des conséquences liées à un éventuel manquement du sous-traitant ou des sous-traitants ultérieurs aux obligations issues du présent addendum, du contrat conclu entre les parties ou de la réglementation applicable en matière de protection des données ; en ce compris, les réclamations, actions, dommages-intérêts, sommes, coûts, frais, amendes administratives, ainsi que les honoraires d’avocat et frais de justice raisonnables, dus ou payés par le responsable du traitement, y compris à des personnes concernées.
Engagement du sous-traitant :
Si la violation est directement imputable au sous-traitant, celui-ci indemnisera le responsable du traitement de l’ensemble des conséquences liées à un éventuel manquement de sa part aux obligations issues du présent addendum, du contrat conclu entre les parties ou de la réglementation applicable en matière de protection des données ; en ce compris, les réclamations, actions, dommages-intérêts, sommes, coûts, frais, amendes administratives, ainsi que les honoraires d’avocat et frais de justice raisonnables, dus ou payés par le responsable du traitement, y compris à des personnes concernées.
Limitation de responsabilité :
Le sous-traitant ne saurait être tenu responsable des dommages subis par le responsable de traitement au titre de l’exécution du présent addendum ou du contrat conclu entre les parties, sauf en cas de manquement avéré aux obligations contractuelles ou légales imposées par le présent addendum, le contrat conclu entre les parties, le RGPD ou la législation en vigueur.
En tout état de cause :
La responsabilité totale et cumulée du sous-traitant au titre de tout dommage direct résultant d’un manquement aux obligations contractuelles sera strictement limitée :
- Au montant de la prestation forfaitaire prévue dans le contrat conclu entre les parties, si celui-ci est inférieur à 50 000 euros.
- À 50 000 euros si le montant de la prestation forfaitaire excède cette somme.
- Pour les contrats récurrents conclus entre les parties (maintenance, hébergement), au montant total des prestations annuelles facturées sur les 12 mois précédant l’événement générateur du dommage.
Le sous-traitant ne pourra en aucun cas être tenu responsable des dommages indirects, y compris, mais sans s'y limiter, :
- Les pertes d’exploitation,
- La perte de chiffre d’affaires,
- La perte de données non restaurables (hors faute grave du sous-traitant),
- Les préjudices commerciaux ou perte de réputation,
- Les pertes financières ou économiques consécutives à un manquement.
Cette limitation de responsabilité ne s’applique pas en cas de faute lourde ou intentionnelle du sous-traitant, ni aux sanctions administratives imposées au responsable de traitement lorsque celles-ci découlent directement d’une violation par le sous-traitant de ses obligations contractuelles ou légales.
Conditions d’exclusion de responsabilité :
Le sous-traitant peut se dégager de sa responsabilité si la violation résulte :
- D’instructions inadéquates du responsable de traitement.
- D’un cas de force majeure (y compris, mais sans s’y limiter: une cyberattaque globale de type ransomware paralysant des services essentiels, une piratage de grande ampleur d’un acteur majeur de l’infrastructure internet).
IV. OBLIGATIONS DU RESPONSABLE DU TRAITEMENT
Pour l’exécution des traitements sous-traités au sous-traitant, le responsable du traitement s’engage à :
- collecter de manière loyale auprès des personnes concernées et fournir au sous-traitant les données à caractère personnel visées par le I. 2., ainsi que toutes autres informations nécessaires à l’exécution du service ;
- informer les personnes concernées du traitement de leurs données par le sous-traitant, conformément aux dispositions des articles 13 et 14 du RGPD ;
- documenter par écrit toute instruction concernant le traitement des données par le sous-traitant ;
- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du sous-traitant ;
- superviser le traitement sous-traité, y compris réaliser des audits et inspections auprès du sous-traitant et/ou des sous-traitants ultérieurs, sous réserve du respect d’un préavis raisonnable.
Il transmet également l’identité et les coordonnées de son délégué à la protection des données ou de la personne de référence en la matière, s’il en a nommé un(e).
Le sous-traitant fournit au responsable du traitement un service de transfert des données sécurisé et hébergé sur sa propre infrastructure dans l’Union Européenne. Par conséquent :
- le responsable du traitement s’engage à transmettre tous les documents contenant des données personnelles via le service “Catapult” accessible dans la signature email du correspondant BNB.
V. DISPOSITION FINALE
Si le traitement sous-traité devient illégal en raison d’une modification de la réglementation sur la protection des données à caractère personnel ou est jugé illégal par une autorité compétente en la matière, les parties prennent rapidement des mesures pour assurer sa conformité avec ladite réglementation.
Site web & e-shop App mobile ios/android Logiciel métier sur mesure Campagnes marketing Hébergement pro Assistance Site web & e-shop App mobile ios/android Logiciel métier sur mesure Campagnes marketing Hébergement pro Assistance Site web & e-shop App mobile ios/android Logiciel métier sur mesure Campagnes marketing Hébergement pro Assistance Site web & e-shop App mobile ios/android Logiciel métier sur mesure Campagnes marketing Hébergement pro Assistance Site web & e-shop App mobile ios/android Logiciel métier sur mesure Campagnes marketing Hébergement pro Assistance Site web & e-shop App mobile ios/android Logiciel métier sur mesure Campagnes marketing Hébergement pro Assistance Site web & e-shop App mobile ios/android Logiciel métier sur mesure Campagnes marketing Hébergement pro Assistance Site web & e-shop App mobile ios/android Logiciel métier sur mesure Campagnes marketing Hébergement pro Assistance Site web & e-shop App mobile ios/android Logiciel métier sur mesure Campagnes marketing Hébergement pro Assistance Site web & e-shop App mobile ios/android Logiciel métier sur mesure Campagnes marketing Hébergement pro Assistance