Confidentialité
1 – Champ d’application
Les présentes conditions particulières (ci-après « CP ») ont pour objet de fixer les conditions de traitement de Données personnelles que le Prestataire peut être amené à réaliser dans le cadre du Contrat et de ses relations avec le Client.
Les présentes sont faites conformément aux dispositions de la loi n°78-17 du 6 janvier 1978 (dite « Loi informatique et libertés » ou « LIL ») et du Règlement Général sur la protection des données Personnelles (« RGDP ») n°2016/679.
Chaque Partie s’engage à respecter les obligations qui lui incombent en application de cette règlementation et des présentes Conditions Particulières.
2 – Définitions
–Données Personnelles ou Données : désigne toute information se rapportant à une Personne identifiée ou identifiable. Est réputé identifiable la Personne qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant ou à un ou plusieurs éléments spécifiques propres à son identité.
–Réglementation : désigne la réglementation applicable au Prestataire et au Client au jour du Traitement considéré, en particulier, la Loi n°78-17 du 6 janvier 1978 (dite « Loi informatique et libertés » ou « LIL ») et le Règlement Général sur la protection des Données Personnelles (« RGDP ») 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
–Traitement : désigne toute opération ou série d’opérations portant sur des Données Personnelles, telle que la collecte, l’enregistrement, l’organisation, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction, indépendamment du fait que cette opération est réalisée automatiquement ou pas.
–Responsable de traitement : désigne la Partie qui, seul ou conjointement, détermine les finalités et les moyens d’un Traitement.
–Sous-traitant : désigne toute personne physique ou morale amenée à traiter des Données Personnelles pour le compte du Responsable du traitement.
-Personne(s) concernée(s) : désigne toute personne physique dont les Données Personnelles sont susceptibles de faire l’objet d’un Traitement.
3. -Données personnelles que traite le Prestataire en tant que Responsable de traitement
Le Prestataire peut être amené à traiter des Données personnelles du Client en tant que Responsable de traitement.
3.1 Caractéristiques des Traitements réalisés par le Prestataire
Ces traitements peuvent porter sur les Données personnelles du Client lui-même, lorsque celui-ci est une personne physique, ainsi que sur celles de ses collaborateurs salariés ou non (dirigeants, commerciaux, financiers, achats, juridiques, etc) qui sont en relation avec le Prestataire.
Les traitements ont pour finalités :
– la gestion de la relation contractuelle avec le Client (négociation, signature du contrat, échanges, facturation, etc)
-la gestion du site internet et notamment des commandes passées en ligne
– la gestion de l’exécution des Prestations (collaboration autour du projet, gestion des tickets, etc)
-la gestion de la communication électronique
-la fidélisation et la prospection commerciale
Les types de Données concernées peuvent être :
- Les Données d’identification (nom, prénom, adresse mail, téléphone),
- Les Données sur la fonction professionnelle, siret
- Les Données d’ordre économique et financière
- Les Données de connexion (adresse IP, logs)
- Les Données relatives aux projets et aux contenus des échanges (nature du besoin, échanges, etc)
Les Traitements peuvent consister en :
- la consultation,
- l’extraction,
- l’enregistrement,
- la modification (mise à jour),
- l’hébergement,
- la structuration,
- l’organisation,
- le rapprochement / l’interconnexion,
- la conservation / archivage,
- la transmission, / diffusion,
- l’effacement / la destruction
Les bases légales des Traitements sont l’exécution du Contrat conclu avec le Client ou l’intérêt légitime.
La fidélisation et prospection commerciale d’un ancien Client dont le contrat est terminé depuis 3 ans nécessitent un consentement.
Le Prestataire conserve les Données collectées le temps de la relation commerciale puis pendant 10 ans. Les Données de connexion sont conservées pendant quelques mois maximum. Les mails échangés avec le Client sont conservés pendant 5 ans.
3.2 Conditions relatives aux Traitements
Les données collectées sont transmises directement par le Client ou ses collaborateurs.
Les Données collectées présentent un caractère obligatoire pour réaliser les finalités de traitement.
Le Responsable de traitement a recours à des sous-traitants pour réaliser certains traitements, notamment dans le cadre de la gestion de la relation contractuelle ainsi que pour la gestion des Prestations. Le Prestataire utilise en particulier différents outils collaboratifs afin de faciliter les échanges avec le Client.
Le Client est informé et donne, par les présentes, son consentement explicite au fait que certains sous-traitants du Prestataire peuvent être amenés à réaliser des transferts de Données personnelles en dehors de l’Union Européenne, en particulier vers les États-Unis.
Dans de tels cas, le Prestataire s’engage à ce que les transferts réalisés par ses sous-traitants soient faits conformément à la Règlementation. Lorsque des transferts de Données sont réalisés en application de l’article 46, le Prestataire s’assure que ces transferts soient soumis à des garanties appropriées et soient documentés conformément aux dispositions de l’Article 30(2) du RGPD. A ce titre, le Client donne tout pouvoir et autorise le Prestataire à signer avec les sous-traitants concernés des CCT (Clauses Contractuelles Types de la Commission
Européenne) relatives aux Données et, mandate plus largement le Prestataire pour prendre toutes mesures de nature à protéger les Données.
Le Prestataire met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Il prend des mesures afin de garantir que toute personne physique agissant sous son autorité ou sous celle d’un Sous-traitant, qui a accès à des Données personnelles, ne les traite pas, excepté sur instruction du Prestataire, à moins d’y être obligé.
La Personne concernée par un Traitement peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses Données personnelles après son décès. Ces directives peuvent être générales ou particulières.
La Personne concernée par un Traitement bénéficie également d’un droit d’accès, d’opposition, de rectification, de suppression et, à certaines conditions, de portabilité de ses Données personnelles. La Personne concernée a le droit de retirer son consentement à tout moment si le consentement constitue la base légale du traitement.
La demande devra indiquer les nom et prénom, adresse e-mail ou postale, de la personne concernée, et être signée et accompagnée en cas de doute, d’un justificatif d’identité en cours de validité.
Elle peut exercer ces droits en s’adressant à : Julien Guiard – julien@maintenance-wp.fr
Lorsque les Traitements concernent les collaborateurs du Client, il revient à ce dernier de les informer directement de leurs droits.
4 – Données personnelles que traite le Prestataire en tant que Sous-traitant
Dans le cadre du Contrat, le Prestataire peut être amené à réaliser des Traitements de Données personnelles en tant que Sous-traitant, pour
le compte du Client, qui définit seul les finalités et les moyens du Traitement.
4.1 Caractéristiques des Traitements
Les instructions du Client selon lesquelles le Prestataire doit réaliser les Traitements des Données sont celles figurant dans les présentes Conditions Particulières.
Elles peuvent cependant être complétées, modifiés ou mises à jour par le Client à tout moment par écrit.
Les traitements peuvent avoir pour finalités :
- la refonte de site, l’audit de site
- la maintenance du site du Client (Onboarding, préventive, corrective, évolutive, service support, support ponctuel, réversibilité)
Les instructions de Traitement peuvent être les suivantes :
- se connecter à l’interface d’administration du site internet
- se connecter au serveur pour copier le site et les données sur le serveur de développement
- se connecter aux outils tiers du client
- réaliser un audit de l’existant
- assurer des migrations sur des serveurs (développement et production)
- réaliser des sauvegardes
- conserver des identifiants et mots de passe d’accès au site, serveur, outils tiers du client
- effectuer des tests
- réaliser les correctifs nécessaires
- assurer les opérations de maintenance préventive nécessaires (sauvegardes, nettoyage, mise à jour, surveillance de la sécurité, tests)
- assister le client à l’utilisation du site
- assurer le service support
- installer/désinstaller, paramétrer des logiciels et des technologies tiers (cookies, plugins), pouvant parfois entraîner des transferts de données vers des destinataires tiers, y compris hors UE
- mettre en place des connecteurs ou encore des API entre le site/logiciel du client et d’autres logiciels utilisés par le client, pouvant parfois entraîner des transferts de données vers des destinataires tiers, y compris hors UE
- installer et configurer le site du client
- mettre en place des accès serveur
- mettre en place des bases de données
- configurer une adresse mail
- souscrire au nom et pour le compte du client un certificat SSL et l’installer
- supprimer les Données (ex : spam)
- transférer les Données à des tiers destinataires, y compris hors UE
- donner l’accès à des Données à des tiers destinataires, y compris hors UE
- Réaliser des développement (évolution) sur le site
- assurer la réversibilité des données (notamment exports de données)
Les Traitements peuvent consister en :
- la consultation, l’extraction, l’enregistrement, la modification (mise à jour), l’hébergement, la structuration, l’organisation, le rapprochement / l’interconnexion, la conservation / archivage, la transmission, / diffusion, l’effacement / la destruction.
Les Personnes concernées peuvent être :
- des internautes, les clients du Client, les collaborateurs du Client, ses abonnés ou encore les prospects du Client.
Les types de Données traitées peuvent être :
Les Données stockées sur le logiciel du Client. Il peut également s’agir des Données stockées sur le serveur du Client ainsi que sur d’éventuels autres logiciels utilisés par le Client. Ces Données peuvent être les suivantes :
- Etat-civil, identité, données d’identification, images (nom, prénom, adresse, photographie, date et lieu de naissance, etc.)
- Données de connexion (adresses Ip, logs, identifiants des terminaux, identifiants de connexion, informations d’horodatage, etc.)
- Données de localisation (déplacements, données GPS, GSM, …)
- Informations d’ordre économique et financier (revenus, situation financière, données bancaires, etc.)
- Vie professionnelle (CV, situation professionnelles, scolarité, formation, distinctions, diplômes, etc.)
- Vie personnelle (habitudes de vie, situation familiale…)
- Potentiellement Données sensibles
Les durées de conservation des Données sont les suivantes :
- Les Données de sauvegardes sont conservées pendant 90 jours maximum
- Les autres Données sont conservées le temps de la relation contractuelle puis pendant 5 ans
Le Client est informé que la personne référente en matière de protection des Données personnelles est Julien Guiard – julien@maintenance-wp.fr
4.2 Obligations du Client
Le Client, en sa qualité de Responsable de traitement, s’engage à respecter l’ensemble des obligations qui lui incombent en application de la Réglementation sur la protection des Données personnelles, telles que notamment les obligations d’information des Personnes concernées, les demandes d’autorisation éventuelles, l’existence des bases légales des Traitements, etc.
Lorsque le Client donne instruction au Prestataire d’installer, désinstaller, paramétrer des logiciels, technologies, API, communiquer des Données, pouvant entraîner des transferts de Données vers des destinataires tiers, y compris hors UE, le Client s’engage à vérifier au préalable que les transferts envisagés sont conformes à la Règlementation. Il s’assure également que ces transferts sont soumis à des garanties appropriées ainsi qu’à des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen.
Le Responsable de traitement tiendra indemne le Sous-traitant de toute condamnation ainsi que de toute conséquence financière auxquelles ce dernier pourrait être exposé du fait du non-respect des obligations lui incombant.
4.3 Obligations du Prestataire
Le Prestataire, en sa qualité de Sous-traitant, s’engage à respecter scrupuleusement l’ensemble des obligations qui lui incombent en application de la Réglementation sur la protection des Données personnelles. Les obligations du Prestataire sont précisées ci-après.
Respect des instructions de traitement
Le Prestataire s’engage à se conformer strictement aux instructions écrites du Client s’agissant de l’utilisation qui peut être faite des Données Personnelles. Le Prestataire s’interdit, en particulier, de réaliser tout Traitement de Données Personnelles, qui ne serait pas expressément demandé par le Client dans le cadre d’une instruction écrite.
Recours à la sous-traitance en cascade
Le Client est informé et accepte, dans le cadre d’une autorisation générale, que le Sous-traitant peut faire appel à des sous-traitants en cascade dans le cadre du présent Contrat.
Lorsque le Sous-traitant a recours à un autre sous-traitant pour mener des activités de Traitement spécifique pour le compte du Responsable du traitement, des obligations équivalentes en matière de protection de Données que celles fixées dans le présent Contrat sont imposées à cet autre sous-traitant par contrat. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des Données, le Sous-traitant demeure responsable devant le Responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.
La liste des sous-traitants en cascade est tenue à la disposition du Client sur demande écrite. Le Sous-traitant s’engage à informer le Responsable de traitement de l’ajout ou changement de sous-traitant par courrier électronique dans les plus brefs délais, si ce changement a un impact négatif sur un Traitement de ses Données.
Le Responsable de traitement formulera toute observation ou objection par écrit dans les quinze jours à compter de la réception de cette information. A défaut de réponse dans ce délai, le Responsable de traitement reconnaît avoir ainsi accepter ledit nouveau sous-traitant et le changement sur le Traitement de ses Données. Le Sous-traitant apportera au Responsable de traitement toute information permettant d’établir la conformité du sous-traitant en cascade aux exigences de la Réglementation.
Obligation d’aide et assistance du Sous-traitant
Le Sous-traitant tient compte de la nature du Traitement et aide le Responsable du traitement, par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de donner suite aux demandes dont les Personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III du RGPD.
Le Sous-traitant aide le Responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du Traitement et des informations à sa disposition.
Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article.
Audit
Le Client pourra, à ses frais, réaliser ou faire réaliser, par tout prestataire de son choix soumis au secret professionnel, pendant l’exécution du présent accord des audits relatifs au respect des obligations du Prestataire, en matière de traitement des Données personnelles, au titre du présent Accord.
Le Client s’engage à avertir le Prestataire par écrit de toute mission d’audit avec un préavis minimum de dix (10) jours calendaires en lui communiquant l’objet de la mission, la durée envisagée de la mission, étant précisé que celle-ci ne pourra excéder 4 jours, et le nom des experts missionnés.
Les Parties conviendront d’un commun accord de la planification de l’audit, l’auditeur s’engageant à occasionner un minimum de perturbations dans la réalisation des Prestations.
Un exemplaire du rapport d’audit rédigé par l’auditeur sera remis à chaque partie et sera examiné conjointement par les Parties qui s’engagent à se rencontrer à cet effet.
Si cet audit confirme un manquement du Prestataire à ses obligations, le Prestataire prend à sa charge les frais d’audit et met en œuvre, à ses frais, les mesures correctives nécessaires dans un délai de trente (30) jours ouvrés à compter de la remise du rapport d’audit. A l’exception de ce qui précède, le Client supporte tous les frais engagés par lui au titre des audits. A défaut de correction dans ledit délai, le Client pourra résilier pour faute le présent accord et le Contrat initial dans les conditions prévues au Contrat initial.
Obligation de confidentialité
Le Sous-traitant est tenu à une obligation de confidentialité et s’interdit de communiquer, à titre gratuit ou onéreux, les Données personnelles à un tiers, quel qu’il soit, sauf pour les besoins du Contrat et sur instruction du Responsable de traitement.
Le Sous-traitant veille à ce que les personnes autorisées à traiter les Données Personnelles s’engagent à respecter la confidentialité des Données personnelles ou soient soumises à une obligation légale appropriée de confidentialité.
Notification en cas de violation de Données personnelles
Le Sous-traitant s’engage à notifier au Responsable de traitement dans les meilleurs délais et, dès qu’il en a connaissance, toute violation ou faille de sécurité impactant les Données personnelles et à fournir au Responsable de traitement les informations nécessaires pour lui permettre d’informer l’autorité de contrôle et, si nécessaire, les Personnes Concernées.
Autorisation des transferts de Données personnelles en dehors de l’Union Européenne
Le Client donne, par les présentes, instruction expresse au Prestataire de réaliser ou faire réaliser, par le biais d’un sous-traitant en cascade, des transferts de Données personnelles en dehors de l’Union Européenne, y compris vers les États-Unis.
Le Prestataire s’engage à ce que les transferts soient faits conformément à la Règlementation.
Lorsque des transferts de Données sont réalisés en application de l’article 46, le Prestataire s’assure que ces transferts soient soumis à des garanties appropriées et soient documentés conformément aux dispositions de l’Article 30(2) du RGPD. A ce titre, et lorsque cela est nécessaire, le Client donne mandat au Prestataire de signer en son nom et pour son compte avec des sous-traitants en cascade des CCT (Clauses Contractuelles Types de la Commission Européenne) relatives aux Données.
Mesures de sécurité
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, afin d’éviter toute perte, endommagement, altération ou accès non-autorisé aux Données.
Le Sous-traitant prend des mesures afin de garantir que toute personne physique agissant sous son autorité, qui a accès à des Données Personnelles, ne les traite pas, excepté sur instruction du Client, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.
Registre des traitements
Le Sous-traitant tient le registre des Traitements à la disposition du Client et/ou de l’autorité de contrôle et le communique sur simple demande.
Dernière mise à jour le 31/03/2024