Accord sur le transfert des données
1. Politique de protection de données personnelles :
Définitions
« Contrat » désigne l’ensemble des documents contractuels liant AAIS et le Client.
« Données à caractère personnel » ou « Données » désigne les données à caractère personnel se rapportant à une personne physique identifiée ou identifiable au sens de la Réglementation en vigueur.
1. Déclarations :
1.1 Les Parties s’engagent à respecter les dispositions légales et règlementaires en vigueur relatives à l’informatique, aux fichiers et aux libertés, et notamment le règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après la « Réglementation en vigueur »).
1.2 Dans le cadre de l’exécution du Contrat, les Parties conviennent que :
- le Client agit en qualité de responsable du traitement des données personnelles au sens de la Réglementation en vigueur ;
- AAIS agit en qualité de sous-traitant au sens de la Réglementation en vigueur pour le compte du Client afin d’exécuter ses obligations aux termes du Contrat. Il aura accès et traitera les Données à caractère personnel fournies par le Client.
1.3 AAIS est autorisée à traiter pour le compte du Client les données à caractère personnel nécessaires au fonctionnement de la Solution. Les Données traitées sont constituées d’informations relatives aux collaborateurs du Client (notamment nom, prénom et adresse courriel) et aux clients du Client (notamment nom, prénom, adresse postale, numéro de téléphone). Ces Données sont conservées.
1.4 Le Client, en sa qualité de responsable du traitement des Données à caractère personnel, est le seul à disposer de la maîtrise et de la connaissance, notamment de l’origine des Données, et garantit respecter l’ensemble des obligations qui lui incombent à l’égard des personnes concernées par ces Données. Il demeure seul responsable des traitements de données à caractère personnel réalisés pour son propre compte dans le cadre du Contrat.
Le Client s’engage à ne pas fournir à AAIS directement ou indirectement de Données à caractère personnel faisant apparaître les opinions religieuses, philosophiques ou politiques, l’origine ethnique ou l’appartenance syndicale des personnes, ni des données relatives à la santé ou à la vie sexuelle de celles-ci.
1.5 AAIS s’engage à traiter les Données à caractère personnel dans le cadre de la stricte exécution du Contrat et conformément aux instructions du Client. Les Parties reconnaissent que la réalisation de l’objet du Contrat et l’utilisation par le Client de la Solution constituent des instructions documentées du Client au sens de la Réglementation en vigueur.
Si le Client utilise la Solution pour traiter d’autres données ou catégories de données à caractère personnel ou pour d’autres traitements ou finalités que celles figurant au Contrat, le Client le fait à ses risques et ses périls et AAIS ne peut être tenue pour responsable en cas de manquement à la Réglementation en vigueur.
2. Sécurité :
2.1 AAIS s’engage à prendre toutes précautions utiles pour garantir la sécurité et la confidentialité des Données à caractère personnel et veille à ce que son personnel autorisé à traiter ces Données s’engage à respecter la confidentialité de celles-ci.
En application de l’article 32.1 de la Réglementation en vigueur, AAIS met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir à son Client un niveau de sécurité adapté au risque. La liste des moyens mis en œuvre par AAIS pourra être communiquée au Client à sa demande.
2.2 AAIS garantit que dans le cadre de l’exécution du Contrat, le Traitement de Données à caractère personnel est effectué sur le territoire de l’Espace Economique Européen.
2.3 Le Client demeure responsable de la sécurité et de la confidentialité de ses systèmes.
3. Coopération avec le Client :
AAIS met à la disposition du Client, s’il le lui en fait la demande, toutes les informations dont il dispose afin de l’aider à démontrer le respect de la Réglementation en vigueur, y compris pour la réalisation d’analyse d’impact relative à la protection des Données ou pour la consultation préalable de l’autorité de contrôle et ce, aux frais du Client.
4. Sous-traitance :
Dans le cadre de l’exécution du Contrat, AAIS fait appel aux sous-traitants suivants :
Sous-traitant | Finalité du traitement |
---|---|
AWS (Paris / Londres) | Hébergement des Données |
Hostinger | Envoi d’e-mails aux utilisateurs |
AAIS s’engage à faire appel à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées afin de répondre aux exigences de la Réglementation en vigueur.
AAIS informera par courriel le Client de tout changement prévu concernant l’ajout ou le remplacement d’un sous-traitant.
Le sous-traitant de AAIS est tenu aux mêmes obligations en matière de protection des Données que celles fixées dans le Contrat entre AAIS et le Client.
Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des Données, AAIS demeurera pleinement responsable devant le Client de l’exécution par l’autre sous-traitant de ses obligations.
5. Audit :
AAIS met à la disposition du Client à la demande de celui-ci la documentation nécessaire pour démontrer le respect de toutes ses obligations en qualité de sous-traitant au titre du Contrat et pour permettre la réalisation d’audit aux frais du Client, y compris des inspections, par le Client ou un auditeur qu’il a mandaté, et contribuer à cet audit.
Un tel audit ne pourra être diligenté qu’une fois pendant la période initiale du Contrat, puis au maximum une fois par année et dans les conditions suivantes :
- le Client transmet par lettre recommandée avec accusé de réception à AAIS une demande d’explication concernant le respect de la Réglementation en vigueur ;
- en l’absence de réponse de AAIS dans le délai de quinze jours suivant la réception de cette lettre recommandée, le Client forme une demande d’audit auprès de AAIS en précisant le périmètre de l’audit envisagé et les conditions de réalisation de celui-ci ;
- l’audit ne pourra pas dépasser deux jours ouvrés, et sera mis en œuvre par deux personnes maximum qui auront accès aux locaux de AAIS aux dates convenues avec elle et aux horaires habituels de travail de AAIS ;
- les auditeurs devront remettre leur pré-rapport à AAIS afin de recueillir ses observations et y répondre dans le rapport final qui sera remis au Client.
6. Exercice et droits des personnes :
Le Client, en qualité de responsable du traitement, est chargé de fournir à la personne concernée les informations requises par la Réglementation en vigueur, au moment de la collecte des Données à caractère personnel.
Dans la mesure du possible, AAIS doit aider le Client à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits sur leurs Données à caractère personnel et en particulier le droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée.
Lorsque les personnes concernées exercent auprès de AAIS des demandes d’exercice des droits sus visés, AAIS doit adresser ces demandes dès réception par courriel à l’Administrateur du Client.
Le Client reste responsable de la réponse à apporter aux personnes physiques concernées.
7. Notification des violations de Données à caractère personnel :
7.1 AAIS notifie à l’Administrateur du Client par courriel dans les meilleurs délais toute violation de Données à caractère personnel dont il aurait connaissance.
Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente et dans la mesure du possible des informations suivantes :
- la description de la nature de la violation de Données à caractère personnel, y compris si possible les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de Données à caractère personnel concerné ;
- le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel les informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de Données à caractère personnel ;
- la description des mesures prises pour remédier à la violation de Données à caractère personnel, y compris le cas échéant les mesures pour en atténuer les éventuelles conséquences négatives.
7.2 Il appartient au Client d’informer les personnes concernées de toute violation de leurs Données à caractère personnel conformément à la Réglementation en vigueur.