Sous-traitance de données personnelles

Les finalités des traitements de Données Personnelles sont les suivantes : l'exécution de l'Abonnement et la réalisation des Prestations dans le cadre de l'Abonnement. Dans le cadre de l'Abonnement, RESANTÉ-VOUS opère les traitements suivants sur les Données Personnelles :

• Enregistrement
• Stockage
• Consultation
• Conservation

Les catégories de Personnes Concernées par les traitements mis en œuvre par RESANTÉ-VOUS dans le cadre de l'Abonnement sont les utilisateurs bénéficiant d'une Licence, à savoir les salariés et les clients du Client (ci-après les « Personnes Concernées »)

Les Données Personnelles sont les données de contact des Personnes Concernées (nom, prénom, adresse email, date de naissance)

Le référent des données personnelles de RESANTÉ-VOUS peut être contacté à l'adresse suivante : contact@resantevous.fr

La Solution ACTIDUO n'a pas vocation à héberger et contenir des données particulières au sens du RGPD (aussi appelées « données sensibles »). Le Client s'interdit tout traitement de données sensibles sur la Solution ACTIDUO. En toute hypothèse, le Client est seul responsable de toute utilisation non- conforme aux recommandations de RESANTÉ-VOUS ou à la règlementation applicable à la protection des données personnelles.

La durée du traitement des Données Personnelles correspond à la durée de l'Abonnement.

Pour l'exécution de l'Abonnement, le Client met à la disposition à RESANTÉ-VOUS, les informations nécessaires suivantes :

• Le nom et les coordonnées du Délégué à la Protection des données Personnelles du Client, au sens du RGPD, le cas échéant ou à défaut, de l'interlocuteur de RESANTÉ-VOUS quant aux Données Personnelles pour les besoins de la présente Annexe ;
• Les instructions documentées relatives aux Données Personnelles, nécessaires à l'exécution des dispositions de la présente Annexe par RESANTÉ-VOUS.

En outre, le Client s'engage à :

• Documenter par écrit toute instruction concernant le traitement des Données Personnelles par RESANTÉ-VOUS ;
• Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD par RESANTÉ-VOUS ;
• Superviser le traitement, y compris réaliser les audits et les inspections auprès de RESANTÉ- VOUS.

RESANTÉ-VOUS s'engage à :

• traiter les Données Personnelles uniquement pour la ou les seule(s) finalité(s) d'exécution de l'Abonnement et des Prestations.
• traiter les Données Personnelles conformément aux instructions documentées du Client. Si RESANTÉ-VOUS considère qu'une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l'Union Européenne ou du droit français, elle s'engage à en informer immédiatement le Client ;
• informer le Client, dans l'hypothèse où il serait tenu de procéder à un traitement de Données Personnelles en vertu d'une disposition impérative résultant du droit de l'Union Européenne ou du droit des États membres, sauf si le droit concerné interdit une telle information pour des motifs imports d'intérêt public ;
• obtenir l'accord préalable et écrit du Client avant de mettre un œuvre un transfert des Données Personnelles vers un pays situé hors Union Européenne. Si cet accord est donné, RESANTÉ- VOUS s'engage à coopérer avec le Client afin d'assurer :
  • le respect des procédures permettant de se conformer à la réglementation applicable à la protection des Données Personnelles, par exemple dans le cas où une autorisation de la part d'une autorité de contrôle compétente apparaîtrait nécessaire ;
  • si besoin, la conclusion d'un ou plusieurs contrats permettant d'encadrer les flux transfrontières de Données Personnelles. RESANTÉ-VOUS s'engage en particulier, si nécessaire, à signer de tels contrats avec le Client.

Pour ce faire, il est convenu entre les parties que les clauses contractuelles types publiées par la Commission européenne seront utilisées pour encadrer les flux transfrontières de données personnelles.

• garantir la confidentialité des données personnelles traitées dans le cadre du présent Contrat ;
• veiller à ce que les personnes autorisées à traiter les données personnelles en vertu du présent Contrat :
  • s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
  • prendre en compte, s'agissant de ses outils, produits, applications ou services, les principes de protection des données personnelles dès la conception et de protection des données personnelles par défaut ;
• aider le Client dans le respect de ses propres obligations légales (telles que la réalisation d'analyses d'impact au sens du RGPD, le cas échéant).

RESANTÉ-VOUS est autorisé à faire appel à un autre sous-traitant (ci-après le « Sous-traitant Ultérieur ») pour mener des activités de traitement spécifiques. RESANTÉ-VOUS informera préalablement et par écrit le Client de tout changement envisagé concernant l'ajout ou le remplacement de Sous-traitants Ultérieurs. Cette information doit indiquer clairement les activités de traitement sous-traitées, l'identité et les coordonnées du Sous-traitant Ultérieur, les dates de signature des contrats de sous-traitance et l'existence éventuelle de flux de données personnelles en dehors de l'Union européenne ou vers une organisation internationale.

Le Client dispose d'un délai maximum de huit (8) jours à compter de la date de réception de cette information, pour présenter ses objections, en transmettant à RESANTÉ-VOUS les motifs raisonnables et documentés tenant au non-respect par ce ou ces sous-traitants de la règlementation applicable à la protection des données personnelles.

En cas d'objection justifiée et pertinente, le Sous-traitant Ultérieur pourra se rapprocher du Client, par l'intermédiaire de RESANTÉ-VOUS afin de parvenir à une solution amiable alternative au recours au sous- traitant ultérieur concerné.

En l'absence de solution amiable dans un délai maximal d'un (1) mois à compter de la demande écrite formulée par l'une des parties concernées, le Client pourra décider de renoncer au bénéfice de la prestation concernée par le recours au sous-traitant ultérieur, et le cas échéant, dans l'hypothèse où cela aurait pour conséquences de rendre impossible la poursuite des prestations confiées au sous-traitant ultérieur concerné, de résilier le contrat dans les conditions des CGP. En l'absence d'objection, RESANTÉ-VOUS pourra confier la réalisation des prestations concernées au Sous-traitant Ultérieur. Le Sous-traitant Ultérieur est tenu de respecter les obligations des CGV, et de ne traiter des Données Personnelles que pour le compte et selon les instructions documentées du Client. En conséquence, RESANTÉ-VOUS s'engage à signer avec son Sous-traitant Ultérieur un contrat écrit imposant au Sous-traitant Ultérieur des obligations en matière de protection des données personnelles permettant le respect de celles fixées dans les présentes CGV. Il appartient à RESANTÉ-VOUS de s'assurer, notamment à travers ce contrat écrit, que le Sous-traitant Ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du RGPD. RESANTÉ- VOUS demeure pleinement responsable à l'égard du Client de l'exécution par le Sous-traitant Ultérieur de ses obligations, notamment en ce qui concerne la notification des violations de Données Personnelles.

Le Client est seul responsable de l'information et de l'exercice des droits des Personnes Concernées relative aux traitements mis en œuvre par le Client et le cas échéant, par RESANTÉ-VOUS et les Sous-traitants Ultérieurs. Dans l'hypothèse où RESANTÉ-VOUS recevrait une demande d'exercice des droits d'une personne concernée, elle s'engage à la transmettre au Client dans les meilleurs délais, étant précisé que seul le Client pourra répondre à de telles demandes. RESANTÉ-VOUS s'engage à apporter son concours au Client afin de l'assister dans la réponse aux demandes des Personnes Concernées, en lien avec les Prestations fournies dans le cadre de l'Abonnement.

Lors d'une violation de Données Personnelles au sens du RGPD, RESANTÉ-VOUS s'engage à procéder à toutes investigations utiles sur les manquements aux règles de protection afin d'y remédier dès que possible et de diminuer l'impact de tels manquements sur les Personnes Concernées. RESANTÉ-VOUS notifie au Client toute violation de Données Personnelles dans les meilleurs délais après en avoir pris connaissance.

Cette notification pourra être complétée ensuite, dans la mesure du possible, de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à la CNIL ou de communiquer auprès des Personnes Concernées, telle que la description et la nature des Données Personnelles concernées, la description de l'origine de la violation des Données Personnelles, la description des mesures prises par RESANTÉ-VOUS pour remédier à ladite violation de Données Personnelles. Seul le Client est responsable de la décision de notifier ou non la violation à l'autorité de contrôle compétente et de communiquer cette information ou non aux Personnes Concernées, aucune notification ou communication ne sera effectuée par RESANTÉ-VOUS à ce titre.

RESANTÉ-VOUS s'engage à faire ses meilleurs efforts afin de mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles, de manière que les traitements de Données Personnelles mis en œuvre dans le cadre des CGV soient conformes à la règlementation applicable à la protection des données personnelles. RESANTÉ-VOUS s'engage ainsi, notamment, à prendre toutes précautions utiles au regard de la nature des Données Personnelles et des risques présentés par les traitements, pour préserver la sécurité des Données Personnelles, des fichiers et notamment limiter les risques de déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation et/ou tout accès par des tiers non autorisés préalablement par le Client.

Les moyens mis en œuvre par RESANTÉ-VOUS destinés à assurer la sécurité et la confidentialité des données incluent notamment les mesures suivantes, telles que :

• le contrôle régulier des mesures techniques et organisationnelles pour garantir la sécurité et la pérennité des Données Personnelles traitées ;
• la mise en place de pare-feu et d'antivirus

RESANTÉ-VOUS s'engage à maintenir ces moyens tout au long de l'exécution de l'Abonnement et des Prestations. En tout état de cause, RESANTÉ-VOUS s'engage en cas de changement des moyens visant à assurer la sécurité et la confidentialité des Données Personnelles, à les remplacer par des moyens d'une performance équivalente.

RESANTÉ-VOUS ne pourra être tenu responsable en cas de violation de Données Personnelles ne résultant pas de son fait, et notamment en cas de non-respect par le Client de la règlementation applicable à la protection des données personnelles, de la documentation technique remise par RESANTÉ-VOUS ou des recommandations de RESANTÉ-VOUS en matière de bonnes pratiques et de sécurité des Données Personnelles ou en cas d'absence d'instructions documentées communiquées par écrit par le Client à RESANTÉ-VOUS afin de se conformer à une règlementation ou à des usages applicables au secteur d'activité du Client.

Conformément aux exigences législatives et règlementaires, le Client, en qualité de responsable de traitement, peut être amené à auditer toute la chaine de sous-traitants réalisant des opérations de traitements sur les Données Personnelles, pour son compte. La présente clause expose les modalités selon lesquelles un audit pourra être réalisé chez RESANTÉ-VOUS.

RESANTÉ-VOUS met à la disposition du Client, la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre, dans la limite d'un audit par année contractuelle et pendant les heures de travail de RESANTÉ-VOUS, la réalisation d'audits, par le Client ou un autre auditeur mandaté par le Client, et contribuer à ces audits. Ces audits seront effectués sur la base des informations demandées par le Client à RESANTÉ-VOUS, en vue de démontrer les procédures et la documentation mise en place par RESANTÉ-VOUS pour se conformer au RGPD. Tous les frais engagés par le Client dans le cadre dudit audit seront exclusivement supportés par le Client.

Le Client communiquera à RESANTÉ-VOUS préalablement, et au moins deux mois à l'avance toute demande d'opération d'audit, par lettre recommandée avec accusé de réception, détaillant les documents demandés, la date prévue de l'audit ainsi que le nom et les coordonnées des personnes en charge de l'audit et le périmètre juridique et technique de l'audit. L'audit sera effectué à distance et dans l'hypothèse où les conclusions écrites de la personne en charge de l'audit démontrent expressément une non-conformité des traitements de Données Personnelles mis en œuvre par RESANTÉ-VOUS dans le cadre de l'Abonnement par rapport à la règlementation applicable à la protection des données, un audit complémentaire dans les locaux de RESANTÉ-VOUS pourra être réalisé par lesdites personnes. Dans le cas d'un audit complémentaire dans les locaux de RESANTÉ-VOUS, le Client ayant diligenté l'audit, assumera les frais supplémentaires résultants notamment de la nécessité d'un renforcement des effectifs pour permettre la réalisation de l'audit et la continuité de l'activité de RESANTÉ-VOUS, lesquels seront facturés par RESANTÉ- VOUS au Client ayant diligenté l'audit (en ce compris les frais supportés par les Sous-traitants Ultérieurs de ce fait). L'audit est réalisé par le Client, ou par un tiers de leur choix, sous réserve que ce tiers ne soit pas un concurrent direct ou indirect de RESANTÉ-VOUS ou du Sous-traitant Ultérieur concerné, qu'il soit soumis à un engagement contractuel de confidentialité dont copie sera remise à RESANTÉ-VOUS en amont des opérations d'audit. RESANTÉ-VOUS collaborera de bonne foi avec l'auditeur et lui communiquera toutes informations, documents ou explications nécessaires à la réalisation de l'audit, sous réserve qu'ils soient directement en lien avec les prestations fournies dans le cadre de l'Abonnement. Toutefois, RESANTÉ-VOUS pourra refuser de communiquer des informations relatives à des Données Personnelles d'autres clients ou relatives aux systèmes d'information et aux mesures de sécurité d'autres clients. En outre, l'audit exclut toute communication de documents de nature financière, comptable et tenant aux relations de RESANTÉ-VOUS ou des Sous-traitants Ultérieurs avec d'autres clients ou relevant du secret des affaires. Les résultats de l'audit feront l'objet d'un débat contradictoire et d'une validation par les deux parties et le Client, à l'origine de l'audit, s'interdit de les communiquer à un tiers sans autorisation préalable et écrite de RESANTÉ-VOUS. Dans l'hypothèse où le Client souhaiterait réaliser des audits des Sous-traitants Ultérieurs, ceux-ci ne pourront être réalisés que dans les conditions indiquées ci-avant.