Accord de protection des données
1. Objet
Le présent Accord de protection des données (ci-après « APD ») encadre les conditions dans lesquelles les données à caractère personnel du client, agissant en qualité de responsable de traitement (ci-après « le Client ») , sont traitées par le prestataire Nemorius, agissant en qualité de sous-traitant (ci-après « le Sous-traitant »), dans le cadre du contrat de service (ci-après le « Contrat »).
Cet APD fait partie intégrante du Contrat. En cas de contradiction entre les documents, les stipulations du présent APD prévalent pour toutes les questions relatives à la protection des données.
Les termes relatifs à la protection des données utilisés dans ce document s’entendent au sens du Règlement (UE) 2016/679 (« RGPD »).
2. Engagements du Sous-traitant
Le Sous-traitant s’engage à se conformer à l’ensemble des dispositions légales et réglementaires applicables en matière de protection des données, notamment le RGPD et la loi Informatique et Libertés.
Il garantit disposer de mesures appropriées pour assurer la sécurité, l’intégrité et la confidentialité des données traitées pour le compte du client.
Le Sous-traitant veille à ce que les personnes autorisées à accéder aux données soient soumises à une obligation de confidentialité, qu’elle soit contractuelle ou statutaire.
Par ailleurs, il met en œuvre des actions régulières de sensibilisation et de formation de ses équipes aux exigences relatives à la protection des données.
3. Instructions du Client
Le Sous-traitant traite les données personnelles uniquement sur la base d’instructions documentées émanant du Client.
Le Client s’engage à notifier toute évolution de ces instructions dans les meilleurs délais.
Si une instruction donnée apparaît contraire à la réglementation applicable, le Sous-traitant en informe sans délai le Client. Le Client doit déterminer, les données personnelles collectées et leur la finalité afin de répondre aux exigences légales RGPD.
4. Protection des données dès la conception
Le service fourni est conçu selon les principes de protection des données dès la conception et par défaut.
Le Sous-traitant met à disposition des fonctionnalités permettant au Client de respecter ses obligations en tant que responsable de traitement.
Le Client demeure seul responsable de l’utilisation qu’il fait du service et de sa conformité aux règles applicables.
5. Mesures de sécurité
Le Sous-traitant met en œuvre des mesures techniques et organisationnelles adaptées afin de protéger les données personnelles contre tout accès non autorisé, altération, perte ou divulgation.
6. Gestion des violations de données
En cas de violation de données personnelles, le Sous-traitant informe le Client dans les meilleurs délais et, en tout état de cause, dans un délai maximal de 72 heures ouvrées après en avoir pris connaissance.
Il fournit au Client les éléments nécessaires pour lui permettre de satisfaire à ses obligations réglementaires.
Le Sous-traitant prend également toutes les mesures utiles pour limiter les conséquences de l’incident.
Sauf accord préalable du Client, le Sous-traitant n’est pas habilité à notifier l’autorité de contrôle (CNIL) ni à informer les personnes concernées pour le compte du Client.
7. Assistance en matière de sécurité et d’analyse d’impact
Sur demande écrite, le Sous-traitant met à disposition du Client les informations nécessaires relatives aux mesures de sécurité mises en œuvre ainsi que les certifications de la solution.
Toutefois, il n’est pas tenu de réaliser ces analyses ni d’assurer la sécurité du système du Client. Des prestations complémentaires peuvent être proposées le cas échéant.
8. Assistance concernant les droits des personnes
Le Sous-traitant accompagne le Client en lui fournissant les informations nécessaires pour répondre aux demandes des personnes concernées.
Il peut également, sur instruction écrite, exécuter les actions techniques requises.
La gestion directe des demandes reste de la responsabilité du Client, sauf prestation spécifique convenue entre les parties.
9. Recours à des sous-traitants ultérieurs
Le Client autorise le Sous-traitant à recourir à des prestataires tiers dans le cadre de l’exécution du Contrat, sous réserve d’en être informé.
Le Client peut formuler une objection motivée dans certains cas (concurrence, litige, condamnation récente en matière de données).
En cas d’objection recevable, le Sous-traitant dispose d’un délai de six mois pour proposer une solution conforme. À défaut, le Client pourra résilier le Contrat dans les conditions prévues.
Le Sous-traitant s’assure que ses propres sous-traitants respectent des obligations équivalentes à celles du présent APD et reste responsable de leurs actions.
10. Sort des données en fin de contrat
À l’issue du Contrat, le Client indique son choix parmi les possibilités suivantes :
- restitution puis suppression des données,
- suppression immédiate,
- transfert vers un autre prestataire puis suppression.
À défaut d’instruction, le Sous-traitant procédera à la suppression des données 48h après la résiliation du contrat .
Le Client est invité à effectuer toute récupération nécessaire avant la fin du service. La suppression étant irréversible, le Client en assume les conséquences.
Sur demande, le Sous-traitant pourra fournir une attestation de suppression.
11. Transferts hors Union européenne
Le Sous-traitant s’efforce de ne pas transférer les données en dehors de l’Union européenne.
Si un tel transfert est nécessaire, il s’engage à mettre en place des garanties appropriées (clauses contractuelles types, BCR, etc.).
12. Coopération avec les autorités
Le Sous-traitant fournit au Client les informations nécessaires pour répondre aux demandes des autorités de contrôle compétentes.
13. Point de contact
Chaque partie désigne un interlocuteur en charge des questions relatives à cet APD.
Le Sous-traitant communique les coordonnées de son délégué à la protection des données ou de son référent RGPD.
Le Sous-traitant informe le client que le délégué à la protection des données est Monsieur Esteban MATHIEU dont les coordonnées de contacts sont : gdpr@nemorius.com
14. Évolution de l’accord
Le présent APD peut être modifié afin de tenir compte des évolutions légales ou réglementaires applicables. Le client s’en verra informé dans le cas de modification de celui-ci.
15. Droit applicable et juridiction
Le présent accord est régi par le droit français.
Tout différend relatif à son exécution relève de la compétence des juridictions compétentes du ressort du siège du Sous-traitant.