Avenant relatif à la Protection des Données Personnelles
Cet avenant a pour objet de préciser les clauses concernant la prestation pour notre Client, et notamment pour la protection de ses données.
Confidentialité :
Dans le cadre de l’exécution du contrat, les Parties sont amenées à se communiquer des informations confidentielles.
Est considérée comme Information Confidentielle, toute information de quelque nature que ce soit (notamment commerciale, technique, stratégique ou financière) et sous quelque forme que ce soit (notamment orale, écrite, magnétique, électronique, par télécommunication ou procédé informatique) dont une Partie, ou toute société du groupe auquel elle appartient, est propriétaire ou titulaire, et divulguée par cette Partie à l’autre Partie dans le cadre de l’exécution du contrat.
Ne sont pas considérées comme Informations Confidentielles les informations :
- tombées dans le domaine public au moment de la divulgation,
- connues d’une Partie au moment de sa communication par l’autre Partie,
- révélées avec l’accord écrit préalable de l’autre Partie,
- développées par l’une des Parties sans recours à une Information Confidentielle,
- divulguées par un tiers qui la détient légitimement et qui dispose du droit de les divulguer,
- divulguées conformément à une obligation légale ou dans le cadre d’une procédure judiciaire.
Les Parties s’engagent à traiter avec le plus grand secret les Informations Confidentielles qu’elles auront reçues ou dont elles auraient connaissance à l’occasion de l’exécution du contrat.
Les Parties s’engagent à :
- utiliser toute Information Confidentielle uniquement pour l’exécution du contrat et conformément aux dispositions qu’il énonce,
- reproduite, copier, sous quelque forme et sur quelque support que ce soit, tout ou partie des Informations Confidentielles uniquement pour l’exécution du contrat,
- ne pas divulguer, communiquer ou rendre accessibles les Informations Confidentielles à des tiers, de quelque manière que ce soit sans l’accord écrit préalable de l’autre Partie,
- ne rendre accessibles les Informations Confidentielles qu’aux seuls membres de son personnel ou tiers participant à l’exécution du contrat, à les informer de la nature confidentielle de ces informations avant qu’elles leur soient divulguées et à se porter fort du respect de cette obligation de confidentialité par toute personne participant à l’exécution du contrat,
- prendre toutes les mesures nécessaires pour protéger les Informations Confidentielles avec un niveau de protection au moins égal à celui mis en œuvre pour protéger ses propres informations confidentielles,
- informer immédiatement l’autre Partie de toute violation ou tentative de violation des mesures de sécurité mis en œuvre par elle pour assurer la protection des Informations Confidentielles.
Chaque Partie demeure titulaire de l’intégralité des droits de propriété intellectuelle et/ou matérielle sur les Informations Confidentielles qui sont rendues accessibles à l’autre Partie dans le cadre de l’exécution du contrat.
A la fin du présent contrat, chacune des Parties devra restituer à l’autre Partie, ou détruire, l’ensemble des Informations Confidentielles transmises ou dont elle aura eu connaissance pendant l’exécution du contrat ainsi que leurs éventuelles reproductions. Aucune des Parties ne sera en droit d’utiliser, de quelque manière que ce soit, les informations Confidentielles de l’autre Partie.
Tout préjudice subi par l’une des Parties, résultant du non-respect par l’autre Partie de l’un de ses avenants énoncés ci-dessus, sera de nature à ouvrir droit pour la Partie lésée à une demande de dommages et intérêts.
Protection des données à caractère personnel :
Pour l’exécution du service objet du présent contrat, le Client, en qualité de responsable de traitement met à la disposition du Cortex des données à caractère personnel telles que définies par la loi n°78-17 du 6 janvier 1978 modifiée relative aux fichiers, à l’informatique et aux libertés. Le type de données figure dans les conditions particulières.
Cortex s’engage à :
- traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance,
- traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe du présent contrat. Si Cortex considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si Cortex est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public,
- garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat,
- veiller
à ce que les personnes autorisées à traiter les données à caractère personnel
en vertu du présent contrat :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel
- prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut,
Sous-traitance
Cortex ne peut faire appel à un autre sous-traitant (ci-après, « Sous-traitant ») pour mener des activités de traitement spécifiques qu’après accord écrit préalable du responsable de traitement. La demande d’autorisation doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du Cortex et les dates du contrat de sous-traitance.
Le Sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient à Cortex de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, Cortex demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
Droit d’information des personnes concernées
Dans le cas où les données sont collectées par le responsable de traitement, il lui appartient de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
Dans
le cas où les données sont collectées par le sous-traitant, il lui appartient
au moment de la collecte des données, de fournir aux personnes concernées par
les opérations de traitement l’information relative aux traitements de données
qu’il réalise. La formulation et le format de l’information doit être convenue
avec le responsable de traitement avant la collecte de données.
Exercice des droits des personnes
Dans la mesure du possible, Cortex doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du Cortex des demandes d’exercice de leurs droits, Cortex doit adresser ces demandes au responsable de traitement, dès réception, par courrier électronique à l’adresse indiquée aux conditions particulières.
Notification des violations de données à caractère personnel
Cortex notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par tout moyen permettant de justifier de cette notification. Celle-ci est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Après accord du responsable de traitement, Cortex notifie à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable de traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
La notification contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Après accord du responsable de traitement, Cortex communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.
La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Aide du Cortex dans le cadre du respect par le responsable de traitement de ses obligations
Cortex aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.
Cortex aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
Mesures de sécurité
s’engage à mettre en œuvre les mesures techniques et organisationnelles :
- garantissant un niveau de sécurité adapté au risque
- préservant la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement,
- permettant de rétablir la disponibilité des données et l’accès à celles-ci dans des délais appropriés en cas d’incidents physique ou technique
Cortex s’engage à élaborer une procédure visant à tester, à analyser et à évaluer l’efficacité de ces mesures.
Ces mesures sont décrites dans la PSSI disponible sur demande auprès de Cortex.
Sort des données
- Prestation one shot
Au terme de la prestation de services relatifs au traitement des données, Cortex s’engage, au choix du responsable de traitement, notifié au plus tard 30 jours avant la fin de la prestation, à :
- détruire toutes les données à caractère personnel ou
- renvoyer toutes les données à caractère personnel au responsable de traitement ou
- renvoyer les données à caractère personnel à un sous-traitant désigné par le responsable de traitement
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, Cortex peut justifier par écrit de la destruction à la demande.
- Prestations récurrentes ou sur aXessy
Cortex s’engage à :
- détruire toutes les données à caractère personnel au bout de 12 mois ou
- à la demande expresse du client, renvoyer toutes les données à caractère personnel au responsable de traitement (prestation sur devis)
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, Cortex peut justifier par écrit de la destruction à la demande.
Délégué à la protection des données
Cortex communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données.
Registre des catégories d’activités de traitement
Cortex déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :
- le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
- les catégories de traitements effectués pour le compte du responsable du traitement ;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ;
- dans la mesure du possible, une description générale
des mesures de sécurité techniques et organisationnelles, y compris entre autres,
selon les besoins :
- la pseudonymisation et le chiffrement des données à caractère personnel ;
- des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
- une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Documentation
Cortex met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
Obligations du responsable de traitement vis-à-vis de Cortex
Le responsable de traitement s’engage à :
- fournir à Cortex les données visées aux conditions particulières du contrat,
- documenter par écrit toute instruction concernant le traitement des données par Cortex,
- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part e Cortex,
- superviser le traitement, y compris réaliser les audits et les inspections auprès de Cortex.