Passer au contenu principal

Annexe 1

Ces clauses viennent en annexe du contrat et des CGV

Marc avatar
Écrit par Marc
Mis à jour il y a plus d'un an

La présente annexe fait partie intégrante des Conditions Générales de Vente auxquelles s’ajoute la Proposition Commerciale (ci-après, « CGV ») conclues entre les parties et a pour objet de définir les conditions dans lesquelles SOLUTIONS & TERRITOIRE, dans le cadre des services définis dans les « CGV », traite sur instruction de son Client, des données à caractère personnel telles que définies dans le RGPD (« Données à caractère personnel »).

Aux fins de la présente convention, SOLUTIONS & TERRITOIRE agit en tant que « sous-traitant » et son Client est présumé agir en tant que « responsable de traitement ». Les termes « sous-traitant » et « responsable de traitement » ont le sens qui leur est donné par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »).

La finalité de la présente annexe conclue entre SOLUTIONS & TERRITOIRE et son Client conformément à l’article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« Règlement Général sur la Protection des Données » ou « RGPD »), est de définir les conditions dans lesquelles SOLUTIONS & TERRITOIRE agit en qualité de sous- traitant et dans le cadre des Services définis dans le Contrat, traite, sur instruction du Client, des données à caractère personnel telles que définies dans le RGPD (« Données à caractère personnel »).

Article 1 - Objet

La présente Annexe a pour objet de définir les conditions dans lesquelles SOLUTIONS & TERRITOIRE, ci-après désignée « le Prestataire » s'engage à effectuer pour le compte du Client les opérations de traitement de données à caractère personnel définies au contrat, et assure leur protection et leur traitement conformément à la réglementation applicable mentionnée ci-dessous.

Article 2 - Définitions

  • « Données personnelles » désignent toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ;

  • « Personne concernée » désigne une personne physique dont les données personnelles sont traitées ;

  • « Responsable du traitement » désigne la personne qui détermine les finalités et les moyens du traitement des données personnelles ;

  • « Sous-traitant » désigne la personne qui traite des données personnelles sous l'autorité, sur instructions et pour le compte du Responsable du traitement ;

  • « Traitement » désigne toute opération ou tout ensemble d'opérations portant sur des données personnelles par le Prestataire pour le compte du Client, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que la limitation, l'effacement ou la destruction ;

  • « Violation de données personnelles » désigne une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la corruption, le détournement de finalité, la compromission de la confidentialité ou la divulgation non autorisée de données personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

En cas de conflit ou d'ambiguïté entre les dispositions de la présente Annexe et celles du Contrat, les dispositions de la présente Annexe prévaudront.

Article 3 - Description des traitements objet de la sous-traitance

3.1 - Le Prestataire est autorisé à traiter pour le compte du Client les données personnelles nécessaires pour l’exécution du contrat et la fourniture des services suivants :

 Détail des prestations

Le Prestataire ne peut traiter les données personnelles pour d'autres finalités que celles décrites dans le Contrat sans l'autorisation écrite préalable du Client.

3.2 - Le Client détermine sous sa responsabilité les finalités des traitements confiés au Prestataire, lesquelles sont les suivantes :

  • Mettre à disposition un annuaire d'établissements, de locaux professionnels, de parcelles et d'offres d'emploi du territoire ;

  • Mettre à disposition un outil de statistiques et d'analyses du tissu économique du territoire ;

  • Mettre à disposition un outil de veille stratégique sur l'environnement économique (offre d'emplois, créations, cessions, radiations d'Entreprise, etc.) ;

  • Mettre à disposition un module d'analyse sur l'impact de la période COVID ;

  • Mettre à disposition un outil de Gestion de contacts (GRC) ;

  • Assurer la formation des utilisateurs sur l'environnement du RT.

  • Mettre à disposition un outil de gestion des demandes d'accompagnement des entreprises via

    le CRM (option) ;

  • Mettre à disposition un module d'envoi de mailing (option) ;

  • Mettre à disposition un module de suivi d'offre immobilière économique du territoire (option) ;

  • Mise à disposition d'un interfaçage des mails du client (option) ;

  • Mettre à disposition une API (accès aux interfaces de programmation) permettant de collecter

    les données sur une application tierce (option).

Les catégories de données personnelles traitées ou collectées sont les suivantes :

  •  caractéristiques des établissements et des entreprises ;

  •  caractéristiques des contacts des entreprises ;

  •  caractéristiques des porteurs de projet ;

  •  caractéristiques des locaux.

Les catégories de personnes concernées sont :

  •  les entreprises ;

  •  les mandataires des entreprises ;

  •  les propriétaires des locaux du territoire.

La durée des traitements mis en œuvre par le Prestataire pour le compte du Client correspond à la durée du Contrat entre le Prestataire et le Client.

Article 4 - Obligation du Sous-traitant envers le Responsable de traitement

4.1 - Le Prestataire s'engage à :

  • traiter les données personnelles uniquement pour les seules finalités qui font l'objet de la sous- traitance ;

  • traiter les données personnelles conformément aux instructions documentées du Client, à moins que le Prestataire ne soit tenu d’y procéder en vertu du droit applicable au Contrat.

Dans ce cas, le Prestataire informera le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs d'intérêt public :

  • si le Prestataire considère qu'une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l'Union ou du droit des États membres relative à la protection des données, il en informe immédiatement le Client par écrit ;

  • garantir la confidentialité des données personnelles traitées dans le cadre du Contrat et en particulier empêcher leurs destruction, fuite, déformation, détournement, atteinte ou divulgation à des tiers non autorisés ;

  • veiller à ce que les personnes autorisées à traiter les données personnelles dans le cadre des services :

    • s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;

    • reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

  • prendre en compte, s'agissant de ses outils, produits, applications ou services, les principes de protection des données personnelles dès la conception, et de protection des données par défaut ;

  • proposer des prestations respectueuses des principes de proportionnalité, de minimisation et de limitation des données personnelles, assurant que seules les données pertinentes telles que visées à l'article 3.2 de la présente Annexe sont traitées.

4.2 - Le Prestataire est responsable de son personnel, salariés et sous-traitants, et du respect par ces derniers des obligations lui incombant en vertu de la présente Annexe. A cet égard, le personnel du Prestataire ne pourra accéder aux données personnelles, les utiliser, les modifier, sauf lorsque cela est strictement nécessaire aux fins de la fourniture des services tels que mentionnés au Contrat, de la prévention ou du traitement des problèmes techniques ou pour en assurer la sécurisation.

Le Sous-traitant met en place des mesures organisationnelles et techniques pour s'assurer du respect par son personnel de ses obligations notamment en termes de contrôle des personnes habilitées à accéder aux données, de sécurisation des accès et de traçabilité. Il en tient la description détaillée à la disposition du Client à première demande.

4.3 - Le Prestataire s'engage à ne transférer aucune Donnée Personnelle en dehors du territoire de l'Union européenne sans l'autorisation écrite et préalable du Client. Dans l'hypothèse où le Prestataire serait autorisé à transférer des données personnelles hors du territoire de l'Union européenne, il s'engage à ce que de tels transferts soient encadrés soit par l'adhésion à une décision d'adéquation de la Commission européenne, la conclusion de Clauses Contractuelles Types de la Commission européenne ou toutes autres garanties appropriées prévues par l'article 46 du RGPD. En tout état de

cause, aucun transfert de données personnelles hors du territoire de l'Union européenne ne doit diminuer d'une quelconque manière la protection accordée aux Personnes concernées du Client.

4.4 - Le Prestataire reconnaît qu'il doit être en mesure, en tout temps, à première demande et sans délai, pendant l'exécution des services, de rendre compte et de faire la preuve de l'ensemble des procédures et des dispositifs de protection des données personnelles, de minimisation de leur utilisation, et de conformité aux exigences légales susmentionnées.

4.5 - Le Prestataire met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations dans le cadre de la présente Annexe et du RGPD.

Article 5 - Droit d'information des personnes concernées

Le Client fournit l’information aux personnes concernées par les opérations de traitements nécessaires à la fourniture des services par le Prestataire.

Article 6 - Coopération et assistance

6.1 - Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au responsable de traitement de la collectivité.

6.2 - Sur demande écrite du client, le Prestataire s’engage à collaborer loyalement et à fournir une assistance raisonnable au Client dans le cadre de réalisation d'analyses d'impact relative à la protection des données personnelles.

6.3 - Le Prestataire s'engage à coopérer loyalement et sans délai avec le Client dans le cadre de consultation préalable des autorités de contrôle.

Article 7 - Sou-traitance ultérieure

7.1 - Le Prestataire est autorisé à recourir à des sous-traitants ultérieurs pour réaliser des activités de traitements spécifiques ou pour l’assister dans la fourniture des Services.

Dans les conditions prévues à l’article 28 du RGPD, le Prestataire en informe le Client par e-mail 30 jours à l'avance voir modèle d’information sous-traitance ultérieure.

Le Client a le droit d’émettre des objections en cas de changement ou d’ajout de sous-traitant, les objections doivent être notifiées au Prestataire dans les 15 jours suivants envoi de la notification du changement de sous-traitant par Prestataire en précisant le motif de l’objection. Si à la suite d’une objection du Client, le Prestataire ne renonce pas au changement de sous-traitant, le Client peut mettre fin aux services concernés sans pouvoir prétendre à une indemnisation.

Tout changement de sous-traitant devra faire l'objet d'une nouvelle demande dans les conditions du présent article.

7.2 - Dans ce cadre, le Prestataire s'engage à signer un contrat écrit avec chaque sous-traitant ultérieur imposant à ce dernier le respect du RGPD et de l'ensemble des obligations mentionnées dans la présente annexe. À ce titre, le Prestataire s'engage à ne faire appel qu'à des sous-traitants ultérieurs qui présentent des garanties suffisantes, et en tout état de cause au moins équivalentes à celles du Prestataire. Le Prestataire devra fournir au Client avec la demande d'autorisation de sous-traitance, l'ensemble des justificatifs permettant d'établir que ce sous-traitant présente effectivement les garanties suffisantes.

7.3 - En cas de non-respect par un sous-traitant ultérieur de ses obligations en matière de protection des données personnelles, le Prestataire demeure pleinement responsable à l'égard du Client.

Article 8 - Notification des violations des données personnelles

8.1 - Le Prestataire s'engage à informer le Client de tout incident tant physique que technique relatif à la sécurité ou à la confidentialité des données personnelles sans délai et, en tout état de cause, dans

une durée maximale de 48 heures après la prise de connaissance de la survenance d'un incident de sécurité.

8.2 - Le Prestataire notifie par courrier électronique au Client la survenance de toute violation de données personnelles ayant ou susceptible d'avoir des conséquences directes ou indirectes sur les données personnelles, la vie privée, les droits et libertés des Personnes concernées, ou susceptible d'affecter négativement l'image, la réputation ou l'honorabilité du Responsable du traitement. La notification est adressée au Client à l'adresse suivante ........................................................................... .................................................................................................................................................................... dans un délai maximum de 48 heures à compter de la prise de connaissance de la violation de données personnelles. La notification faite au Client contient au moins :

  • la description de la nature de la violation de Données Personnelles y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de Données Personnelles concernés ;

  • le nom et les coordonnées du Délégué à Protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

  • la description des conséquences probables de la violation de données personnelles ;

  • la description des mesures à mettre en œuvre pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

8.3 - Le Prestataire s'engage à collaborer activement avec le Client afin de mettre en place les actions nécessaires à la correction de tout dysfonctionnement qui serait à l'origine ou une conséquence de la violation des données personnelles et à empêcher que cette violation ne se reproduise plus.

8.4 - Le Prestataire s'abstient de divulguer et de communiquer toute information relative à une violation de données personnelles, sauf obligation légale ou autorisation préalable du Client.

Article 9 - Sécurisation des données personelles

9.1 - Le Prestataire s'engage à prendre toutes précautions utiles afin de préserver la confidentialité et la sécurité des données personnelles et notamment d'empêcher qu'elles ne soient déformées, endommagées, détournées ou communiquées à des tiers non autorisés, et plus généralement à mettre en œuvre toutes mesures techniques et organisationnelles appropriées pour protéger les données

personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisé.

9.2 - Le Prestataire s'engage à prendre toutes mesures afin (i) de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, (ii) de rétablir la disponibilité des données personnelles et l'accès à celles-ci dans les délais appropriés en cas d'incident physique ou technique et (iii) de tester, analyser et évaluer régulièrement l'efficacité de ces mesures.

Article 10 - Délégué à la protection des Données

Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données. Toute demande est à adresser à [email protected].

Article 11 - Registre des activités de traitements

Le Prestataire déclare tenir par écrit un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Client comprenant l'ensemble des éléments mentionnés à l'article 30.2 du RGPD.

Article 12 - Audit

12.1 - Le Client a la possibilité d'auditer ou de faire auditer le respect des obligations du Prestataire visées à la présente Annexe pendant toute la durée des traitements des données personnelles.

12.2 - Dans la mesure où l'audit réalisé par le Client démontre une non-conformité du Prestataire aux obligations de la présente Annexe, le Prestataire s'engage à remédier à cette non-conformité dans un délai maximal de dix (10) jours.

Article 13 - Sortie des données personnelles en fin de contrat

13.1 - Au terme du Contrat, le Prestataire s'engage à détruire les données au bout de 90 jours.

Le Client est informé que SOLUTIONS & TERRITOIRE ne conserve pas le contenu du Client indéfiniment. Le Client s’engage par conséquent à exporter lui-même ses données à partir des modules, à la fin de la Durée ou de la résiliation, quelle qu’en soit la cause. Le Client s’engage à cet effet à notifier dans un délai suffisant, et par tout moyen, aux Utilisateurs, qu’ils doivent télécharger leurs données à partir des Modules. À défaut, le Client pourra solliciter SOLUTIONS & TERRITOIRE un nouvel accès au Logiciel pour récupérer son Contenu dans une limite de 90 jours, pour une durée de 7 jours.

13.2 - Le Prestataire s'engage à détruire les copies existantes des données personnelles, à moins que le droit applicable au Contrat n'exige la conservation de celles-ci.

Article 14 - Obligation du responsable de traitement envers le sous-traitant

Le Client s’engage à :

  1. fournir au Prestataire les données visées à l’Article 3 des présentes clauses ;

  2. documenter par écrit toute instruction concernant le traitement des données par le

    Prestataire ;

  3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues

    par le règlement européen sur la protection des données de la part du Prestataire ;

  4. superviser le traitement, y compris réaliser les audits et les inspections auprès du Prestataire.

Articles connexes
La base de données SITADEL
Intro
Principale fonctionnalité de la console d'administration
Avez-vous trouvé la réponse à votre question ?