Accord de traitement des données
Conformément à la décision d’exécution de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types de l’UE (CCT) entre responsables du traitement et sous-traitants en vertu de l’article 28 (7) du règlement (UE) 2016/679 du Parlement européen et du Conseil et de l’article 29 (7) du règlement (UE) 2018/1725 du Parlement européen et du Conseil
Accord de traitement des données
SECTION I
(a) Les présentes Clauses Contractuelles Types (les Clauses) ont pour objet d’assurer le respect de l’article 28(3) et (4) du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(b) Les responsables du traitement et les sous-traitants énumérés à l’annexe I ont accepté les présentes clauses afin de garantir le respect de l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 et/ou de l’article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725.
(c) Les présentes clauses s’appliquent au traitement des données à caractère personnel tel que spécifié à l’annexe II.
(d) Les annexes I à IV font partie intégrante des clauses.
(e) Les présentes clauses sont sans préjudice des obligations auxquelles le responsable du traitement est soumis en vertu du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.
(f) Les présentes clauses ne garantissent pas à elles seules le respect des obligations liées aux transferts internationaux conformément au chapitre V du règlement (UE) 2016/679 et/ou au règlement (UE) 2018/1725.
(a) Les Parties s’engagent à ne pas modifier les Clauses, sauf pour ajouter des informations aux Annexes ou mettre à jour des informations qu’elles contiennent.
(b) Cela n'empêche pas les Parties d'inclure les clauses contractuelles types énoncées dans les présentes Clauses dans un contrat plus large, ou d'ajouter d'autres clauses ou garanties supplémentaires à condition qu'elles ne contredisent pas directement ou indirectement les Clauses ou ne portent pas atteinte aux droits ou libertés fondamentaux des personnes concernées.
(a) Lorsque les présentes clauses utilisent les termes définis respectivement dans le règlement (UE) 2016/679 ou le règlement (UE) 2018/1725, ces termes ont la même signification que dans ce règlement.
(b) Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725 respectivement
(c) Les présentes clauses ne doivent pas être interprétées d'une manière qui irait à l'encontre des droits et obligations prévus par le Règlement (UE) 2016/679 / Règlement (UE) 2018/1725 ou d'une manière qui porterait préjudice aux droits ou libertés fondamentaux des personnes concernées.
En cas de contradiction entre les présentes Clauses et les dispositions d’accords connexes entre les Parties existant au moment où ces Clauses sont convenues ou conclues ultérieurement, ces Clauses prévaudront.
(a) Toute entité qui n’est pas Partie aux présentes Clauses peut, avec l’accord de toutes les Parties, adhérer aux présentes Clauses à tout moment en tant que responsable du traitement ou sous-traitant en remplissant les Annexes et en signant l’Annexe I.
(b) Une fois les annexes du point (a) complétées et signées, l’entité adhérente sera considérée comme une Partie aux présentes Clauses et aura les droits et obligations d’un responsable du traitement ou d’un sous-traitant, conformément à sa désignation à l’Annexe I.
(c) L’entité adhérente n’aura aucun droit ni aucune obligation résultant des présentes clauses pour la période antérieure à celle où elle devient Partie.
Accord de traitement des données
Section II – Obligations des parties
Les détails des opérations de traitement, notamment les catégories de données à caractère personnel et les finalités du traitement pour lesquelles les données à caractère personnel sont traitées pour le compte du responsable du traitement, sont précisés à l’annexe II.
7.1. Instructions
(a) Le sous-traitant traite les données à caractère personnel uniquement sur instruction documentée du responsable du traitement, à moins que le droit de l'Union ou le droit de l'État membre auquel le sous-traitant est soumis ne l'y oblige. Dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation légale avant le traitement, à moins que la loi ne l'interdise pour des motifs importants d'intérêt public. Des instructions ultérieures peuvent également être données par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.
(b) Le sous-traitant informe immédiatement le responsable du traitement si, de son avis, les instructions données par le responsable du traitement enfreignent le règlement (UE) 2016/679 / le règlement (UE) 2018/1725 ou les dispositions applicables en matière de protection des données de l'Union ou des États membres.
7.2. Limitation des finalités
Le sous-traitant traite les données à caractère personnel uniquement aux fins spécifiques du traitement, telles que définies à l’annexe II, à moins qu’il ne reçoive des instructions supplémentaires du responsable du traitement .
7.3. Durée du traitement des données personnelles
Le traitement par le sous-traitant n’a lieu que pendant la durée précisée à l’annexe II.
7.4. Sécurité du traitement
(a) Le sous-traitant met en œuvre au moins les mesures techniques et organisationnelles précisées à l'annexe III pour garantir la sécurité des données à caractère personnel. Cela comprend la protection des données contre une violation de la sécurité entraînant une destruction, une perte, une altération, une divulgation ou un accès non autorisé aux données de manière accidentelle ou illicite (violation de données à caractère personnel). Lors de l'évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques encourus par les personnes concernées.
(b) Le sous-traitant accorde aux membres de son personnel l'accès aux données à caractère personnel faisant l'objet du traitement uniquement dans la mesure strictement nécessaire à l'exécution, à la gestion et au suivi du contrat. Le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel reçues se soient engagées à la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.
7.5. Données sensibles
Si le traitement porte sur des données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier de manière unique une personne physique, des données concernant la santé ou la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (« données sensibles »), le sous-traitant doit appliquer des restrictions spécifiques et/ou des garanties supplémentaires.
7.6 Documentation et conformité
(a) Les Parties doivent être en mesure de démontrer leur conformité avec les présentes clauses.
(b) Le sous-traitant doit traiter rapidement et de manière adéquate les demandes de renseignements du responsable du traitement concernant le traitement des données conformément aux présentes clauses.
(c) Le sous-traitant doit mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et découlant directement du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725. À la demande du responsable du traitement, le sous-traitant doit également autoriser et contribuer aux audits des activités de traitement couvertes par les présentes clauses, à des intervalles raisonnables ou s'il existe des indices de non-conformité. Lorsqu'il décide d'un examen ou d'un audit, le responsable du traitement peut tenir compte des certifications pertinentes détenues par le sous-traitant.
(d) Le responsable du traitement peut choisir de réaliser lui-même l'audit ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques du sous-traitant et doivent, le cas échéant, être effectués avec un préavis raisonnable.
(e) Les Parties mettent les informations visées dans la présente clause, y compris les résultats de tout audit, à la disposition de l’autorité ou des autorités de contrôle compétentes, sur demande.
7.7. Recours à des sous-traitants
(a) Le sous-traitant dispose de l'autorisation générale du responsable du traitement pour engager des sous-traitants ultérieurs figurant sur une liste convenue. Le sous-traitant informe expressément le responsable du traitement par écrit de toute modification prévue de cette liste par l'ajout ou le remplacement de sous-traitants ultérieurs au moins trois semaines à l'avance, ce qui donne au responsable du traitement suffisamment de temps pour pouvoir s'opposer à ces modifications avant l'engagement du ou des sous-traitants ultérieurs concernés. Le sous-traitant fournit au responsable du traitement les informations nécessaires pour lui permettre d'exercer son droit d'opposition.
(b) Lorsque le sous-traitant engage un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques (pour le compte du responsable du traitement), il le fait au moyen d'un contrat qui impose au sous-traitant ultérieur, en substance, les mêmes obligations de protection des données que celles imposées au sous-traitant conformément aux présentes clauses. Le sous-traitant doit s'assurer que le sous-traitant ultérieur respecte les obligations auxquelles il est soumis en vertu des présentes clauses et du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.
(c) À la demande du responsable du traitement, le sous-traitant doit fournir au responsable du traitement une copie de l'accord de sous-traitance et de toute modification ultérieure. Dans la mesure où cela est nécessaire pour protéger le secret commercial ou d'autres informations confidentielles, y compris les données à caractère personnel, le sous-traitant peut rédiger le texte de l'accord avant de partager la copie.
(d) Le sous-traitant reste pleinement responsable envers le responsable du traitement de l'exécution des obligations du sous-traitant ultérieur conformément à son contrat avec le sous-traitant. Le sous-traitant doit informer le responsable du traitement de tout manquement du sous-traitant ultérieur à ses obligations contractuelles.
(e) Le sous-traitant doit convenir avec le sous-traitant ultérieur d'une clause de tiers bénéficiaire en vertu de laquelle - dans le cas où le sous-traitant a effectivement disparu, a cessé d'exister en droit ou est devenu insolvable - le responsable du traitement a le droit de résilier le contrat de sous-traitance ultérieur et de demander à ce dernier d'effacer ou de restituer les données à caractère personnel.
7.8. Transferts internationaux
(a) Tout transfert de données vers un pays tiers ou une organisation internationale par le sous-traitant ne peut être effectué que sur la base d'instructions documentées du responsable du traitement ou afin de satisfaire à une exigence spécifique du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis et se déroulera dans le respect du chapitre V du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725.
(b) Le responsable du traitement accepte que lorsque le sous-traitant engage un sous-traitant ultérieur conformément à la clause 7.7. pour effectuer des activités de traitement spécifiques (au nom du responsable du traitement) et que ces activités de traitement impliquent un transfert de données à caractère personnel au sens du chapitre V du règlement (UE) 2016/679, le sous-traitant et le sous-traitant ultérieur peuvent garantir le respect du chapitre V du règlement (UE) 2016/679 en utilisant des clauses contractuelles types adoptées par la Commission conformément à l'article 46, paragraphe 2, du règlement (UE) 2016/679, pour autant que les conditions d'utilisation de ces clauses contractuelles types soient remplies .
(a) Le sous-traitant informe sans délai le responsable du traitement de toute demande qu'il reçoit de la personne concernée. Il ne répond pas lui-même à la demande, sauf s'il y est autorisé par le responsable du traitement.
(b) Le sous-traitant aide le responsable du traitement à s'acquitter de ses obligations de répondre aux demandes des personnes concernées d'exercer leurs droits, compte tenu de la nature du traitement . Pour s'acquitter de ses obligations conformément aux points a) et b), le sous-traitant se conforme aux instructions du responsable du traitement.
(c) Outre l'obligation du sous-traitant d'assister le responsable du traitement conformément à la clause 8(b), le sous-traitant doit en outre aider le responsable du traitement à garantir le respect des obligations suivantes, compte tenu de la nature du traitement des données et des informations dont il dispose :
(1) l'obligation de procéder à une évaluation de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel (une « analyse d'impact relative à la protection des données ») lorsqu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ;
(2) l'obligation de consulter la ou les autorités de contrôle compétentes avant le traitement lorsqu'une analyse d'impact relative à la protection des données indique que le traitement entraînerait un risque élevé en l'absence de mesures prises par le responsable du traitement pour atténuer ce risque ;
(3) l'obligation de veiller à ce que les données à caractère personnel soient exactes et à jour, en informant sans délai le responsable du traitement si le sous-traitant prend connaissance du fait que les données à caractère personnel qu'il traite sont inexactes ou sont obsolètes ;
(4) les obligations prévues à l'article 32 du règlement (UE) 2016/679
(d) Les Parties définissent à l’annexe III les mesures techniques et organisationnelles appropriées par lesquelles le sous-traitant est tenu d’assister le responsable du traitement dans l’application de la présente clause, ainsi que la portée et l’étendue de l’assistance requise.
En cas de violation de données à caractère personnel, le sous-traitant coopère avec le responsable du traitement et l’assiste afin que celui-ci puisse se conformer à ses obligations au titre des articles 33 et 34 du règlement (UE) 2016/679 ou au titre des articles 34 et 35 du règlement (UE) 2018/1725, le cas échéant, en tenant compte de la nature du traitement et des informations dont dispose le sous-traitant.
9.1 Violation de données concernant les données traitées par le responsable du traitement
En cas de violation de données à caractère personnel concernant des données traitées par le responsable du traitement, le sous-traitant aide le responsable du traitement :
(a) en notifiant la violation de données à caractère personnel à l'autorité ou aux autorités de contrôle compétentes, sans retard injustifié après que le responsable du traitement en a eu connaissance, le cas échéant (à moins que la violation de données à caractère personnel ne soit pas susceptible d'entraîner un risque pour les droits et libertés des personnes physiques) ;
(b) pour obtenir les informations suivantes qui, conformément à l'article 33, paragraphe 3, du règlement (UE) 2016/679, doivent être mentionnées dans la notification du responsable du traitement et doivent au moins inclure :
(1) la nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
(2) les conséquences probables de la violation des données personnelles ;
(3) les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs.
Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes ces informations en même temps, la notification initiale contient les informations alors disponibles et des informations complémentaires sont fournies ultérieurement sans retard injustifié dès qu'elles sont disponibles.
(c) en se conformant, conformément à l’article 34 du règlement (UE) 2016/679, à l’obligation de communiquer sans retard injustifié la violation de données à caractère personnel à la personne concernée, lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
9.2 Violation de données concernant les données traitées par le sous-traitant
En cas de violation de données à caractère personnel concernant des données traitées par le sous-traitant, ce dernier doit en informer le responsable du traitement sans retard injustifié après avoir pris connaissance de la violation. Cette notification doit contenir au moins :
(a) une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données concernés) ;
(b) les coordonnées d’un point de contact où des informations supplémentaires concernant la violation de données à caractère personnel peuvent être obtenues ;
(c) ses conséquences probables et les mesures prises ou envisagées pour remédier à la violation, y compris pour atténuer ses éventuels effets négatifs.
Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes ces informations en même temps, la notification initiale contient les informations alors disponibles et des informations complémentaires sont fournies ultérieurement sans retard injustifié dès qu'elles sont disponibles.
Les Parties définissent à l’annexe III tous les autres éléments à fournir par le sous-traitant lorsqu’il aide le responsable du traitement à se conformer aux obligations de ce dernier au titre des articles 33 et 34 du règlement (UE) 2016/679.
Data Processing Agreement
SECTION III - Final Provisions
(a) Sans préjudice des dispositions du Règlement (UE) 2016/679 et/ou du Règlement (UE) 2018/1725, dans le cas où le sous-traitant ne respecte pas ses obligations en vertu des présentes clauses, le responsable du traitement peut demander au sous-traitant de suspendre le traitement des données à caractère personnel jusqu'à ce que ce dernier se conforme aux présentes clauses ou jusqu'à ce que le contrat soit résilié. Le sous-traitant informe rapidement le responsable du traitement s'il n'est pas en mesure de se conformer aux présentes clauses, quelle qu'en soit la raison.
(b) Le responsable du traitement est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel conformément aux présentes clauses si :
(1) le traitement des données à caractère personnel par le sous-traitant a été suspendu par le responsable du traitement conformément au point a) et si le respect des présentes clauses n'est pas rétabli dans un délai raisonnable et en tout état de cause dans un délai d'un mois après la suspension ;
(2) le sous-traitant est en violation substantielle ou persistante des présentes clauses ou de ses obligations en vertu du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725 ;
(3) le sous-traitant ne se conforme pas à une décision contraignante d'un tribunal compétent ou de l'autorité/des autorités de contrôle compétentes concernant ses obligations en vertu des présentes clauses ou du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.
(c) Le sous-traitant est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses lorsque, après avoir informé le responsable du traitement que ses instructions enfreignent les exigences légales applicables conformément à la clause 7.1 (b), le responsable du traitement insiste sur le respect des instructions.
(d) Après la fin du contrat , le sous-traitant doit, au choix du responsable du traitement, effacer toutes les données à caractère personnel traitées pour le compte du responsable du traitement et certifier au responsable du traitement qu'il l'a fait, ou restituer toutes les données à caractère personnel au responsable du traitement et supprimer les copies existantes, à moins que le droit de l'Union ou le droit des États membres n'exige la conservation des données à caractère personnel. Jusqu'à ce que les données soient supprimées ou restituées, le sous-traitant doit continuer à assurer le respect des présentes clauses.
Annexe I : Liste des parties
Annexe II : Description du traitement
Catégories de personnes concernées dont les données personnelles sont traitées
☒ Clients
☐ Perspectives
☒ Abonnés
☒ Employés, personnes de contact du responsable du traitement
☐ Employés du sous-traitant
☒ Clients du responsable du traitement
☐ Fournisseurs
☐ Représentants des ventes
☒ Personnes de contact
☒ Prestataire de services de paiement du responsable du traitement
☐ Candidats
☐ Autres, veuillez préciser
………………………..
Catégories de données personnelles traitées
☒ Données de base (par exemple salutation, titre, prénom, nom)
☒ Coordonnées (par exemple adresse e-mail, numéro de téléphone, numéro de fax)
☐ Données d’adresse (par exemple rue, numéro de maison, code postal, localisation, pays)
☒ Données de paiement/finances et bancaires (par exemple IBAN, BIC, détails de carte de crédit, conditions de paiement)
☒ Données de traitement de commande (par exemple données de commande, numéro de client, type de client, etc.)
☒ Données de facturation
☒ Données sur le comportement de paiement
☒ Données informatiques (adresses IP, fuseau horaire, système d’exploitation, langue du navigateur)
☐ …
☐ Andere, bitte spezifizieren / autres, veuillez préciser
………………………..
Données sensibles traitées (le cas échéant) et restrictions ou garanties appliquées qui prennent pleinement en compte la nature des données et les risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d’accès (y compris l’accès uniquement pour le personnel ayant suivi une formation spécialisée), la conservation d’un enregistrement de l’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.
☐ origine raciale ou ethnique
☐ opinions politiques
☐ croyances religieuses ou philosophiques
☐ appartenance à un syndicat
☐ données génétiques
☐ données biométriques aux fins d’identifier de manière unique une personne physique
☐ données concernant la santé
☐ données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique
☒ aucune de ces données
………………………..
Nature du traitement
Dans le cadre des prestations définies dans le contrat principal, les données sont traitées pour la finalité indiquée.
Finalité(s) pour laquelle(s) les données à caractère personnel sont traitées pour le compte du responsable du traitement
Fourniture de logiciels et de services pour l’exécution et le traitement des processus de paiement, la facturation, la gestion des factures et des abonnements, ainsi que le traitement des paiements récurrents.
Durée du traitement
La durée du traitement est déterminée par la durée du ou des contrats de prestation concernés, à moins que les dispositions des clauses ne donnent lieu à d’autres obligations ou droits de résiliation. Contrat de prestation de services au sens de cette disposition désigne le contrat désigné ci-dessous : xxx………………………..
Pour le traitement par des (sous-)processeurs , précisez également l’objet, la nature et la durée du traitement
Annexe III : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à assurer la sécurité des données
Veuillez demander la pièce jointe « Mesures techniques/organisationnelles » à [email protected]
ANNEX IV: List of Sub-processors
EXPLANATORY NOTE:
This Annex needs to be completed in case of specific authorisation of sub-processors (Clause 7.7(a), Option 1).
A description of the sub-processors (including a clear delimitation of responsibilities in case several sub-processors are authorised) can be found here: https://frisbii.com/fr/sub-processors/
The Processor shall inform about any planned changes/additions to sub-processors on the website https://frisbii.com/fr/sub-processors/. To be automatically notified the controller can subscribe here and the subscriber will be informed when changes are made.
