Les traitements de données personnelles

Définitions

Conformément aux Lois sur la Protection des Données en vigueur à la date de l’acceptation des CGU, il est convenu des définitions suivantes :

  1. « Autorité de Contrôle » désigne toute autorité responsable de l’application des Lois sur la Protection des Données.

  2. « Données » désigne toute information se rapportant à une personne physique identifiée ou identifiable. Une personne physique identifiable est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

  3. « Droits des Personnes » désigne les droits d’accès, de rectification, d’effacement et d’opposition, le droit à la limitation du traitement, le droit à la portabilité des Données, le droit de ne pas faire l’objet d’une décision individuelle automatisée des Personnes Concernées et le droit de définir des directives relatives au sort de ses Données après sa mort.

  4. « EEE » désigne l’Espace Économique Européen conformément à l’Accord sur l’Espace Économique Européen (Porto, 2 mai 1992).

  5. « Étude d’Impact » désigne l’évaluation des risques pour les droits et les libertés des Personnes Concernées, au sens de l’article 35 du RGPD.

  6. « Lois sur la Protection des Données » désigne l’ensemble des dispositions du droit européen et français applicables en matière de protection des Données, en particulier celles du règlement européen (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des Données et à la libre circulation de ces données, du 27 avril 2016 (RGPD) et des textes nationaux, dont la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée.

  7. « Personne Concernée » désigne la personne à laquelle se rapportent les Données qui font l'objet du Traitement.

  8. « Responsable de Traitement » désigne la personne qui souscrit au service et qui détermine les finalités et les moyens du Traitement.

  9. « Sous-traitant » désigne WEYTOP qui traite des Données pour le compte du Responsable de Traitement.

  10. « Sous-traitant Ultérieur » désigne un sous-traitant du Sous-traitant qui traite les Données du Responsable de Traitement dans le cadre de l’exécution du Contrat.

  11. « Traitement » désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliqué à des Données, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

  12. « Violation de Données » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données.

  13. « Délégué à la Protection des Données » désigne le délégué à la protection des données éventuellement désigné par les Parties.

Rôle des parties

  1. L’utilisateur demeure le Responsable de Traitement des Données qu’il pourrait être amené à communiquer à WEYTOP, uniquement pour l’exécution des CGU et qu’WEYTOP agit en tant que Sous-traitant.

Obligations du responsable de traitement

Le Responsable de Traitement s’engage à :

  1. fournir au Sous-traitant les données visées en annexe 1 du présent Accord ;
  2. documenter par écrit toute instruction concernant le Traitement des Données par le Sous-traitant, étant entendu que le Sous-traitant est réputé agir sur instruction documentée du Responsable de Traitement dans le cadre de l’exécution normale du Contrat ;
  3. veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par Lois sur la Protection des Données ;
  4. superviser le Traitement.

Obligations du sous-traitant

  1. Le Sous-traitant s’engage pour la bonne réalisation du Traitement à :
  • traiter les Données uniquement conformément au Contrat et aux instructions documentées du Responsable de Traitement ;
  • informer immédiatement par écrit le Responsable de Traitement si, selon lui, l’une de ses instructions contrevient aux Lois sur la Protection des Données ;
  • à ce que toute personne dûment autorisée à traiter les Données soit liée par un accord de confidentialité au moins aussi contraignant que celui contenu dans le Contrat ;
  1. Le Sous-traitant garantit au Responsable de Traitement de prendre, toutes les mesures techniques ou organisationnelles requises, conformément aux exigences des Lois sur la Protection des Données, afin d’assurer un niveau de sécurité proportionnel aux risques que présentent les Traitements de Données réalisés dans le cadre du Contrat.

  2. Le Sous-traitant s’engage à apporter une assistance raisonnable au Responsable de Traitement, afin de lui permettre de s’acquitter de ses obligations issues des Lois sur la Protection des Données.

Sous-traitance ultérieure

  1. Le Sous-traitant est expressément autorisé à engager des Sous-traitants Ultérieurs pour le Traitement, notamment ceux mentionnés dans le tableau reproduit, ci-après.
Sous-traitant(s) Ultérieurs Localisation du Sous-traitant Ultérieur N° des Traitements sous-traités (cf. annexe 1)
OVH (Hébergement) France 1,2
  1. Le Sous-traitant informe le Responsable de Traitement de toute modification substantielle relative aux Sous-traitants Ultérieurs concernant les Traitements.

  2. Le Sous-traitant demeure pleinement responsable envers le Responsable de Traitement des actes et défaillances de ses Sous-traitants Ultérieurs en matière de Traitement de Données.

Transferts internationaux

  1. Le Sous-traitant s’engage à ne pas communiquer, transférer ou partager les Données à Caractère Personnel en dehors de l’EEE sans le consentement préalable, écrit et spécifique du Responsable de Traitement.

  2. Le Sous-traitant s’engage également à conserver ces Données à Caractère Personnel sur le territoire de l’EEE.

Conformité, information, audit

  1. Le Sous-traitant met, dans la mesure de ce qui est raisonnable, à la disposition du Responsable de Traitement toute la documentation et les informations nécessaires pour démontrer le respect des obligations qui lui incombent en vertu des Lois sur la Protection des Données et du présent Accord et permettre et contribuer à d’éventuels audits, dans la limite d’un (1) audit par an.

  2. Le Sous-traitant doit promptement résoudre, à ses frais, tous les manquements relatifs à la protection et à la sécurité des Données découvertes par le Responsable de Traitement par suite d’un audit.

Violation de données personnelles

  1. Le Sous-traitant s’engage à notifier sans délai au Responsable de Traitement, dans les meilleurs délais, la découverte d’une Violation de Données par courrier électronique.

  2. Le Responsable de Traitement est responsable de toute éventuelle déclaration publique et/ou de toute communication requise aux Personnes Concernées impactées et/ou aux Autorités de Protection des Données compétentes en cas de Violation de Données Personnelles. Le Sous-traitant s’engage à lui apporter toute l’assistance nécessaire dans l’élaboration de ces communications.

Effacement ou restitution des données

  1. À la demande du Responsable de Traitement à compter de la cessation du Contrat, le Sous-traitant peut soit restituer au Responsable de Traitement dans un format aisément exploitable puis détruire ou détruire les Données après la fin de la mise œuvre des Traitements. À défaut de demande de la part du Responsable de Traitement, il sera procédé à la destruction des Données par le Sous-traitant.

  2. La restitution ou la destruction des Données donnera lieu à l’établissement en deux exemplaires d’un procès-verbal contradictoire, daté, signé par les Partie