Politique de Traitements des données

 

1. Données personnelles: définition

Conformément aux textes en vigueur, constituent des « données à caractère personnel » (ou plus simplement « données personnelles »), toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »).

 

Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

 

Toutes les données relatives aux Utilisateurs des Services via les Solutions, sont donc des données personnelles pour lesquelles le Prestataire s’engage à appliquer les obligations stipulées aux articles 2 à 8, dès lors qu’il est amené à les traiter, même s’il ne les stocke pas, pour le compte du Client

 

2 Contexte

Le présent Contrat porte sur des activités qui incluent un traitement de données personnelles, au sens :

  • du Règlement européen (UE) 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
  • de la Loi n° 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés

 

3. Responsable de traitement – Sous-traitant

 

Dans ce contexte, le Prestataire agit en tant que « sous-traitant » du Client, qui est «responsable du traitement ».

 

4 Définition du traitement

 

Il est entendu que le présent Contrat définit l’objet et la durée du traitement

autorisé dans les conditions décrites ci-dessous

Finalités des traitements mis en œuvre

par le Prestataire

  • réalisation d'acomptes pour le compte du Client auprès de ses salariés

Catégories de données à caractère

personnel traitées par le Prestataire

  • Nom
  • Prénom
  • IBAN + BIC
  • email
  • numéro de téléphone

Catégories de personnes concernées

  • salariés du Client

5 Rôle du Prestataire sous-traitant

Il est explicitement entendu que le sous-traitant :

 

a) ne traite les données à caractère personnel que sur instruction documentée du Client responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;

 

b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;

 

c) prend toutes les mesures requises en matière de sécurité, conformément à l’article 32 du règlement général sur la protection des données ;

 

d) ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

 

Lorsque le sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le Contrat sont imposées à cet autre sous-traitant par contrat, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement général sur la protection des données.

 

Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations. A la date des présentes, le responsable du traitement autorise le sous-traitant à recruter les sous-traitants ultérieurs suivants, étant précisé que les données correspondantes sont hébergées sur des serveurs situés au sein de l’Espace économique européen :

 

  • Amazon AWS qui héberge :
    • nom
    • prénom
    • IBAN/BIC
    • numéro de téléphone
    • email

 

 

e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III du règlement général sur la protection des données (droits d’accès, de rectification, d’effacement, droit à la limitation

du traitement, droit à la portabilité des données, droit d’opposition) et par la Loi n° 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés;

 

f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 du règlement général sur la protection des données, relatifs à la sécurité du traitement et à la notification des violations de données, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ;

 

g) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

 

Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du règlement général sur la protection des données ou d’autres dispositions du droit de l’Union ou du droit des États membres

relatives à la protection des données.

 

La mise en œuvre de ces dispositions implique en particulier que le sous-traitant :

  • s’engage à contribuer à la réalisation des analyses d’impact sur la protection des données dont le Client à la responsabilité, en lui communiquant tous les éléments nécessaires pour les traitements objet du présent Contrat ;
  • s’engage à contribuer à la mise en œuvre du droit d’accès en communiquant au Client, à sa demande, toutes les informations nécessaires à cet effet ;
  • s’engage à notifier le Client de toute faille de sécurité conduisant à une violation de la sécurité des données entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée des données à caractère personnel, ou l'accès non autorisé à de telles données, dans les meilleurs délais, dès qu’il en a connaissance ;
  • s’engage à inscrire le traitement objet du Contrat dans son propre registre des traitements.

 

6 Sécurité et confidentialité des données

Les supports informatiques et documents ainsi que toute donnée à caractère personnel fournis par le Client au sous-traitant en exécution du Contrat restent la propriété du Client. En liaison avec le responsable de traitement, le sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

  • a) la pseudonymisation et le chiffrement des données à caractère personnel qu’il traite pour le compte du Client ;
  • b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement desdites données ;
  • c) des moyens permettant de rétablir la disponibilité de ces données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Le sous-traitant s’engage à respecter les obligations suivantes et à les faire respecter par son personnel et par ses éventuels sous-traitants :

  • ne prendre aucune copie des documents et supports d’informations qui lui sont confiés, à l’exception de celles nécessaires à l’exécution de la présente prestation prévue dans le Contrat ;
  • ne pas utiliser les documents et informations traités à des fins autres que celles spécifiées dans le Contrat ;
  • ne pas divulguer ces documents ou informations à d’autres personnes, qu’il s’agisse de personnes privées ou publiques, physiques ou morales ;
  • prendre des mesures permettant d’éviter toute utilisation détournée ou frauduleuse des fichiers informatiques en cours d’exécution du Contrat ;
  • prendre des mesures de sécurité, notamment matérielle, pour assurer la conservation et l’intégrité des documents et informations traités pendant la durée du Contrat ;

 

Le Prestataire tiendra à disposition du Client et lui communiquera à première demande toutes les preuves du respect de ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

 

7 Hébergement des données personnelles

Le Prestataire s’engage à ce que les données personnelles concernées par le Contrat ne soient hébergées que sur le territoire de l’Espace économique européen.

Toute changement dans l’hébergement des données personnelles doit faire l’objet d’une demande d’autorisation du Client, dans les conditions prévues au 9.5 d) ci-dessus.

 

8 Durée de conservation

Les données personnelles hébergées par le sous-traitant dans le cadre du Contrat pour le compte du Client sont utilisées exclusivement pour la réalisation du Contrat et, stockées par le sous-traitant pour les durées maximum suivantes, qui peuvent être modifiées sur instruction documentées du Client :

 

Nom/Prénom

3 mois après le départ du salarié de la société

IBAN/BIC

2 ans après le départ du salarié

email

3 mois après le départ du salarié de la société

numéro de téléphone

3 mois après le départ du salarié de la société

 

A l’issue des durées définies, mais également à la fin du Contrat, le Prestataire s’engage à procéder, au choix du Client, à la destruction de tous fichiers comportant des données personnelles traitées pour le compte du Client ou à restituer intégralement tout support comportant de telles données personnelles et à n’en conserver aucune copie ou original.

 

 

9 Échanges de données à caractère personnel entre les Parties

Indépendant du traitement sous-traité au Prestataire par le Client, chacune des Parties sera amenée à donner accès à des données à caractère personnel concernant son personnel, y compris, plus généralement, toute personne, salariée ou non, participant à son activité (mandataires sociaux, stagiaires, intérimaires...), à l’autre Partie pour les besoins du suivi du Contrat (suivi du Contrat, facturation...). La Partie recevant ces données aura la qualité de responsable du traitement de ces données et s’engage à respecter les obligations qui lui incombent en cette qualité en vertu de la réglementation.

 

Néanmoins, chaque Partie s’engage à faire son affaire de fournir au nom de l’autre Partie à son personnel concerné toute information relative au traitement mis en œuvre par cette autre Partie et qui se fonde sur l’exécution du Contrat et les besoins légitimes de chaque Partie de gestion de la relation commerciale. A cette fin, le Client est informé que les personnes

concernées par de tels traitements peuvent exercer les droits d'accès, de rectification, d'effacement, de limitation, d'opposition, de portabilité, de définir le sort de leurs données après leur mort et, le cas échéant, de retirer leur consentement en adressant un email à l’adresse legal@rosaly.com.

 

10 Audit

 

Le Client se réserve le droit de procéder à toute vérification qui lui paraîtrait utile pour constater le respect des obligations précitées en procédant à un audit de sécurité auprès du Prestataire.

 

Le Prestataire s’engage à répondre aux demandes d’audit du Client ou d’un tiers de confiance que le Client aura sélectionné, reconnu en tant qu’auditeur indépendant, ayant une qualification adéquate, et libre de fournir les détails de ses remarques et conclusion d’audit au Client.

 

Les audits doivent permettre une analyse du respect par le prestataire de ses obligations au titre des présentes, ainsi qu’au titre de la réglementation applicable en matière de la protection des données à caractère personnel.

 

Le Client doit aviser le Prestataire par écrit de son intention de faire procéder à un audit moyennant le respect d’un préavis minimum de 15 jours. Le Client ne peut réaliser un audit que 2 fois par an, dans la limite de 3 jours ouvrés consécutifs durant les heures de bureau. Le Prestataire s’engage à apporter son concours, sans toutefois que son activité s’en trouve

impactée.

 

Le Client communique de la manière la plus précise et exhaustive possible le périmètre envisagé, la liste des opérations de contrôle et des outils de mesure qu’il envisage utiliser.

 

Le déploiement d’un outil est fait sous l’entière responsabilité du Client. Le Prestataire a le droit de faire analyser l’outil. Si un risque est identifié pour le système d’information et les données du Prestataire, ce dernier est en droit de refuser l’utilisation d’un tel outil.

 

Le Client communique, le cas échéant, le nom de l’auditeur. Le Prestataire a le droit de refuser l’auditeur pour un motif légitime. En cas de désaccord après une troisième proposition, le choix de l’auditeur est fixé par le tribunal compétent. Le Client est responsable des dommages causés par l’auditeur.

 

Le Prestataire peut refuser l’accès aux zones confidentielles, sécurisées et mutualisées et effectue, dans ce cas, l’audit et en communique les résultats au Client.

 

Les résultats de l’audit sont formalisés dans un rapport qui doit être adressé au Prestataire pour qu’il puisse y insérer ses observations et réserves. Le rapport final doit nécessairement comprendre les observations du Prestataire.

 

Si un désaccord survient concernant des écarts de conformité, le Client est en droit de demander une mise en conformité.

 

Toutefois, le Client ne saurait invoquer la non-réalisation de la mise en conformité pour suspendre ses engagements.

 

La procédure d’audit se termine par la remise par le Client d’une lettre clôturant l’audit même en cas d’audit favorable pour le prestataire.

 

11 Responsabilité

Aux termes de l’article 82 du RGPD, le Prestataire est tenu pour responsable du dommage causé par le traitement dès lors :

  • qu'il n'a pas respecté les obligations prévues dans le RGPD qui incombent spécifiquement aux sous-traitants ou ;
  • qu’il a agi en-dehors des instructions licites du Client ou ;
  • qu’il a agi contrairement aux instructions licites du Client.

 

À ce titre, le prestataire est tenu à une obligation de moyen renforcée sur :

 

  • le respect des mesures de sécurité mises en place ;
  • l’aide et l’assistance qu’il doit au Client ;
  • sa réaction en cas de violation de sécurité ;
  • ses obligations au titre du droit d’audit du Client ;
  • l’assistance due au Client en cas de contrôle de la part de la CNIL.

 

12 Réparation du préjudice

Lorsque l’une des parties est individuellement responsable d’un dommage du fait du traitement, il est individuellement tenu responsable de ce dommage dans sa totalité afin de garantir aux personnes concernées une réparation effective.

 

Lorsque les parties sont conjointement responsables d'un dommage causé par le traitement, les parties sont également conjointement responsables du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.

 

Aucune limitation de responsabilité ni aucun plafond de réparation ne sont applicables au titre de la réparation du préjudice des personnes concernées.