Entre :
TVDICI, SAS au capital de 10 000 euros immatriculée au RCS de Toulouse sous le numéro 82535812000012 et établie au 10 rue Auguste Dide, 31500 Toulouse, France
Ci-après désigné « Sous-traitant »
Et :
Le Client
Ci-après désigné « Responsable de traitement »
Ci-après, ensemble désignées « les Parties »
1. Le Responsable de traitement et le Sous-Traitant ont conclu un ou plusieurs contrat(s) portant sur la fourniture de services tels que prévu dans les Conditions Générales de Vente et dans les Conditions Particulières le cas échéant. La réalisation de la prestation étant conditionnée au traitement de données à caractère personnel par le Sous-traitant et pour le compte du Responsable de traitement, les Parties ont décidé de conclure un accord portant sur cette sous-traitance conformément à l’article 28 §3 du Règlement Général sur la protection des données (ci-après « RGPD »).
2. Le présent accord a pour objet de définir les conditions dans lesquelles le Sous- traitant mettra en œuvre les traitements de données à caractère personnel pour le compte du Responsable de Traitement 3. Ainsi, les Parties s’engagent à respecter les dispositions du RGPD en son état actuel mais également futur ainsi que toute réglementation spéciale qui viendrait préciser, interpréter ou se substituer à cette réglementation.
4. Le présent accord fait partie intégrante du ou des contrat(s) conclu(s) entre les Parties au(x)quel(s) il serait annexé.
Les définitions des termes et notions mentionnés dans le présent accord trouvent leur substance dans la règlementation sur la protection des données à caractère personnel et en revêtent la même signification.
« Partie émettrice » entendue comme étant la Partie soumettant le présent accord. En l’espèce, il s’agit du Sous-traitant.
« Partie réceptrice » entendue comme étant la Partie ayant accusé réception du présent accord par la Partie émettrice.
« Plateforme » entendue comme étant le site accessible à l’adresse suivante : www.tvdici.fr
1. Cet accord et ses annexes constituent l’accord des Parties quant à la Sous-traitance des données. Il prévaut sur tout accord précédemment conclu qu’il rend, par conséquent, non-contraignant.
2. Le présent accord et ses annexes sont interdépendants et forment un ensemble cohérent et indissociable. Néanmoins, en cas de divergence entre le présent accord et les différentes annexes, un ordre de priorité entre ces documents est défini comme étant le suivant :
a. L’accord de sous-traitance des données
b. Annexe 1 : Données personnelles
c. Annexe 2 : Moyens de communication entre les Parties
3. Par son caractère intuitu personae, toute modification du présent accord dépend de l’expression de la volonté commune des Parties et doit, par conséquent, être approuvée et signée par elles.
1. La durée du présent accord est fonction de celle prévue au(x) contrat(s) initial(aux).
2. La résiliation du ou des contrat(s) principal(aux) entraînera également la résiliation du présent accord dont il est l’accessoire.
3. En outre, la violation du présent Accord ou l’impossibilité pour l’une des Parties de le respecter peut entraîner la résiliation sans préavis du contrat principal.
4. Les Parties reconnaissent que la résiliation du présent Accord, à n’importe quel moment et pour quelque raison que ce soit, ne les exempte pas de leurs obligations relatives au traitement de données à caractère personnel.
1. Le Responsable de traitement autorise le Sous-traitant à traiter les données à caractère personnel nécessaires pour la fourniture, du ou des service(s), prévue au principal.
2. Le Responsable de traitement s’engage à communiquer au Sous-traitant toutes les informations nécessaires à la réalisation du principal par le Sous-traitant.
3. Les opérations réalisées sur les données à caractère personnel sont explicitées dans le registre des traitements réalisées par le Sous-traitant pour le compte du Responsable de traitement. Les conditions de communication dudit registre sont prévues dans l’Annexe 1 et soumises à la confidentialité du Responsable de traitement telle que prévue à l’Article XIV § 4 des présentes.
1. Les données confiées au Sous-traitant par le Responsable de traitement seront uniquement traitées dans un État membre de l’Union Européenne ou sur le territoire de l’Espace Économique Européen (EEE) ;
2. Si le Sous-traitant envisage de mettre en œuvre un transfert de données en dehors de l’Union Européenne ou du territoire de l’Espace Économique Européen, ce dernier en informe le Responsable de traitement au moins 30 jours avant sa réalisation ;
3. Ce transfert sera permis dès lors que ce dernier répond aux exigences des articles 44 à 50 du RGPD et que le Responsable de Traitement l’a autorisé expressément par écrit ;
4. En tout état de cause, un tel transfert ne saurait être envisagé en l’absence de clauses contractuelles types de protection des données à caractère personnel conclues entre le Responsable de Traitement et l’importateur de données établi dans un pays tiers ;
5. Par le présent accord, le Responsable de traitement en tant qu’exportateur de données, donne mandat explicite au Sous-traitant de signer, en son nom et pour son compte, les clauses contractuelles types éditées par la Commission Européenne avec l’importateur de données agissant en tant que Sous-traitant ultérieur.
1. Le Sous-traitant prendra les mesures techniques et organisationnelles adéquates permettant d’assurer un niveau de sécurité́ approprié au risque tel que déterminé par le Responsable du Traitement et doit maintenir ces mesures pendant toute la durée du principal.
2. Le Sous-traitant garantit le Responsable du Traitement qu’il a pris les mesures techniques et organisationnelles spécifiées dans l’Annexe 2 du présent accord.
3. Les mesures techniques et organisationnelles doivent être conformes à l’état de l’art et aux évolutions techniques. Le Sous-traitant peut, par conséquent prendre des mesures alternatives adéquates. Le niveau de sécurité́ de ces mesures ne doit pas être inférieur de celui des mesures techniques et organisationnelles. Toute modification substantielle doit être documentée.
1. Le Sous-traitant traite les données, pour la ou les seules finalités objet(s) de la Sous- traitance ;
2. Le Sous-traitant se limite à suivre les instructions documentées par le Responsable de Traitement, sous réserve de l’alerter immédiatement en cas d’instruction non conforme à la réglementation et/ou en cas de mesures de sécurité qui lui sembleraient plus appropriées dans le cadre des prestations prévues au principal. Le Sous-traitant peut voir sa responsabilité engagée s’il ne pouvait ignorer l’existence de mesures de sécurité plus appropriées et qu’il n’en a pas expressément et promptement informé le Responsable de traitement ;
3. Le Sous-Traitant garanti la confidentialité des données qui lui sont confiées en :
a. Ne donnant accès à ces données qu’aux personnes ayant besoin d’en connaître ;
b. Soumettant ces personnes à un accord de confidentialité assorti de sanctions en cas de violation ;
c. Formant à la protection des données à caractère personnel les membres du personnel ayant accès aux données du Responsable de Traitement.
4. Le Sous-traitant s’engage à utiliser des outils compatibles aux principes de protection des données dès la conception et par défaut ;
5. Le Sous-traitant ne réalise aucune copie des documents et supports d’informations qui lui sont confiés, à l’exception de celles nécessaires à l’exécution de la présente prestation prévue au contrat, l’accord préalable du maître du fichier est nécessaire ;
6. Le Sous-traitant ne divulgue pas ces documents ou informations à des tiers, qu’il s’agisse de personnes privées ou publiques, physiques ou morales.
7. Le Sous-traitant s’engage à :
a. Notifier tout incident portant sur les données à caractère personnel confiées par le Responsable de traitement dans un délai de 48h après en avoir eu connaissance ;
b. Enquêter rapidement sur toute violation de Données à Caractère Personnel afin de remédier à une telle violation ;
c. Informer le Responsable de traitement, dans un délai maximal de 48h, des mesures correctives mises en place pour y remédier ;
d. Fournir au Responsable de traitement toute documentation lui permettant, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
8. Le Sous-traitant s’engage à garantir et maintenir un niveau de sécurité et de confidentialité approprié aux typologies de données qui lui sont confiées par le Responsable de traitement.
1. Le Responsable de traitement accepte que le Sous-traitant puisse faire appel à des sous-traitants ultérieurs agissant en son nom et pour son compte, afin de l’assister dans les opérations de traitement des Données à Caractère Personnel du Responsable de traitement et de ses Clients.
2. Néanmoins le Sous-traitant apporte et documente toutes les précautions nécessaires au choix de ses sous-traitants, à qui sont confiées lesdites Données à caractère personnel et informe le Responsable de traitement de tout changement prévu concernant l’ajout ou le remplacement d’un sous-traitant ultérieur par tout moyen écrit à sa convenance.
3. Le Responsable de traitement peut s’opposer à un tel ajout ou remplacement en le notifiant au sous-traitant par écrit dans les 30 jours suivant la réception de l’avis d’ajout ou de remplacement envoyé par le sous-traitant.
4. Le Responsable de traitement reconnaît et accepte que l’absence d’objection dans le délai susvisé équivaille à une acceptation de sa part d’un nouveau sous-traitant. Dans le cas où le Responsable de traitement s’opposerait à la désignation d’un sous- traitant ultérieur, les Parties conviennent de ce que l’une ou l’autre puisse résilier le contrat sous réserve que celles-ci n’aient su se mettre d’accord sur la désignation d’un autre sous-traitant ultérieur.
5. Le Sous-traitant conclut un contrat, avec tout sous-traitant ultérieur, contenant les mêmes obligations que celles fixées au présent accord, notamment en imposant au sous-traitant ultérieur de ne traiter les Données à Caractère Personnel du Responsable de traitement et de ses Clients que conformément aux instructions documentées du Sous-traitant.
6. Le Sous-traitant communique toute information permettant de justifier de la mise en œuvre de telles obligations ainsi que les instructions documentées communiquées au Sous-traitant ultérieur.
7. Il appartient au Sous-traitant initial de s’assurer de la conformité de ses sous- traitants ultérieurs à la réglementation sur la protection des données ainsi qu’au présent accord.
8. Le Sous-traitant demeure pleinement responsable à l’égard du Responsable de traitement pour tout traitement effectué par le sous-traitant ultérieur en violation des obligations du présent contrat.
1. Le Sous-traitant déclare tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement, comprenant :
a. Le nom et les coordonnées du ou des sous-traitants ainsi que, le cas échéant, les noms et les coordonnées du représentant du Responsable de traitement et des Sous-traitants ultérieurs ainsi que celles de leur éventuel délégué à la protection des données ;
b. Les catégories de traitements effectués pour le compte du Responsable de traitement ;
c. Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, du Règlement (UE) 2016/679, les documents attestant de l’existence de garanties appropriées ;
d. Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1 du Règlement (UE) 2016/679.
2. Le Sous-traitant s’engage à informer le Responsable de traitement en cas d’évolution substantielle des activités de traitement effectuées pour le compte du Responsable de traitement.
3. Le Sous-traitant s’engage également à communiquer au Responsable de traitement tout document permettant d’attester de son respect du présent accord.
1. Il appartient au Responsable de traitement d’informer les personnes concernées par les opérations de traitement au moment de la collecte des données.
2. Le Sous-traitant, lorsque cela sera nécessaire, aidera le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice de droits des personnes concernées prévus aux articles 12 à 22 du RGPD.
3. Le Sous-traitant ne répond jamais pour le compte du Responsable de traitement aux demandes d’exercice qui lui sont adressées directement. Dans l’hypothèse le Sous- traitant viendrait à être destinataire d’une telle demande, celui-ci la transmet au Responsable de traitement dans les meilleurs délais afin que ce dernier puisse déterminer les suites à lui donner ;
Les prestations spécifiques commandées au Sous-traitant par le Responsable de traitement dans le cadre de ses obligations de conformité RGPD, nécessitant la réalisation de services additionnels par le Sous-traitant, feront l’objet d’une tarification aux conditions applicables à la date de la demande.
Le Sous-traitant s’engage à porter assistance au Responsable de traitement dans sa démarche de réalisation d’une analyse d’impact sur la vie privée, dans la limite de la prestation de sous-traitance et des informations à la disposition du Sous-traitant. Cette assistance se doit d’être raisonnable et fera l’objet d’une tarification aux conditions applicables à la date de la demande.
1. Lorsque le Sous-traitant n’est pas soumis à une obligation de nomination d’un délégué à la protection des données, celui-ci nomme une personne en charge de ces questions au sein de son établissement.
2. Cette personne sera un contact privilégié du Responsable de Traitement.
1. Si le Responsable de traitement estime nécessaire d’effectuer un audit pour vérifier la conformité du Sous-traitant à la règlementation et au présent accord, le Sous- traitant accepte de s’y soumettre dans les conditions suivantes :
a. Si le Responsable de traitement estime que la documentation fournie par le sous-traitant ne lui permet pas de démontrer la conformité à la règlementation, le Responsable de traitement formulera une demande d’audit sur site, justifiée et documentée, par lettre recommandée avec avis de réception ;
b. L’audit doit être effectué par un auditeur indépendant, de réputation notoire, ne concurrençant pas les activités commerciales du sous-traitant. Cet auditeur indépendant est choisi par le Responsable de traitement et accepté par le Sous-traitant. Il doit posséder les qualifications professionnelles requises et est soumis à un accord de confidentialité ;
c. Les Parties reconnaissent que tout rapport et information obtenus dans le cadre de cet audit sont des informations confidentielles ;
d. La date de début de l’audit, la durée et le périmètre de l’audit sont définis d’un commun accord par les Parties avec un préavis minimum de 30 jours ouvrés ;
e. Le Responsable de traitement supporte les frais d’audit et rembourse au Sous-traitant tous les frais engagés à cet effet, notamment le temps consacré à l’audit sur la base du taux horaire moyen du personnel du Sous- traitant ayant collaboré à l’audit ;
f. L’audit ne peut être effectué que durant les heures d’ouverture du Sous- traitant ;
g. L’audit ne comporte pas d’accès aux informations qui ne sont pas liées aux traitements réalisés conformément au présent contrat, ni d’accès physique aux serveurs sur lesquels sont sauvegardées les Données.
2. Le Responsable de traitement notifiera dans les meilleurs délais au Sous-traitant toute information relative à une potentielle non-conformité découverte à l’occasion de l’Audit.
3. Dans le cas d’une potentielle non-conformité, le Sous-traitant s’engage à fournir les meilleurs efforts pour y remédier.
4. Le Responsable de traitement s’engage à accompagner le Sous-traitant dans la résolution des non-conformités relevées et ne pourra résilier le contrat sans un préavis de 30 jours.
1. Le Responsable de traitement demeure exclusivement responsable du respect de ses propres obligations légales et règlementaires en matière de traitement de Données à Caractère Personnel.
2. Le Responsable de traitement s’engage à :
a. Documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant ;
b. Informer dans les meilleurs délais le Sous-traitant de toute erreur ou irrégularité dont il a connaissance portant sur les instructions formulées par lui au Sous-Traitant.
3. Le Responsable de traitement s’engage à alerter le Sous-traitant sans délai, en cas d’évolution de ses demandes, entraînant ou risquant d’entraîner un changement de statut du Sous-traitant au regard de la règlementation.
4. Le Responsable de traitement s’engage à assurer la confidentialité de l’ensemble de la documentation fournie par le Sous-traitant au titre de son droit d’information, à l’exception des documents librement accessibles sur la Plateforme du Sous-traitant.
1. Les stipulations suivantes concernent les relations contractuelles entre le Sous- Traitant et le Responsable de traitement. Elles ne font pas obstacle aux dispositions de l’article 82 du RGPD donnant droit à réparation aux personnes concernées.
2. La responsabilité du Sous-traitant peut être engagée pour tout manquement à l’une de ses obligations prévues au présent accord.
3. Il est entendu que le Sous-traitant ne saurait être tenu pour responsable des décisions prises par le Responsable de traitement en tant que responsable de traitement.
4. Le montant de l’indemnisation à verser par le Sous-traitant ne pourra pas excéder les sommes effectivement perçues par lui dans le cadre du ou des contrats principaux dans la limite du Prix d’un abonnement annuel le cas échéant.
5. En cas de perte ou de détérioration des données ou fichiers confiés au Sous-traitant par le Responsable de traitement résultant de la faute du Sous-traitant, ce dernier s’engage à supporter les frais de réinstallation de la dernière sauvegarde effectuée par le Client.
1. Le Sous-traitant s’engage, au terme du principal, à restituer l’ensemble des informations, données, documents, fichiers confiés par le Responsable de traitement.
2. A la demande du Responsable de traitement, le Sous-traitant s’engage à assurer la portabilité des données confiées par le Responsable de traitement au prestataire désigné par le Responsable de traitement.
3. Passé cette restitution, le Sous-traitant s’engage à détruire toutes les données à caractère personnel et toutes les copies existantes conformément aux instructions du Responsable de Traitement. Cette destruction devra faire l’objet d’une justification écrite par le Sous-traitant.
Les prestations spécifiques commandées au Sous-traitant par le Responsable de traitement dans le cadre de ses obligations de conformité RGPD, nécessitant la réalisation de services additionnels par le Sous-traitant, feront l’objet d’une tarification aux conditions applicables à la date de la demande.
La Partie réceptrice du présent accord s’engage à ne pas le reproduire dans le cadre de ses propres relations contractuelles.
Toute reproduction du présent accord à cette fin fera l’objet de poursuites pour parasitisme sur le fondement des articles 1240 et 1241 du code civil.
1. La nullité d’une disposition du présent accord n’en affectera pas les autres stipulations. Les Parties s’engagent à remplacer la disposition inapplicable par une stipulation légale qui poursuivrait le même objectif que celle qualifiée de nulle.
2. En cas de contradiction entre le présent accord et d’autres accords entre les Parties, le présent accord prévaut.
3. En cas de difficulté d’interprétation entre les titres et les clauses du présent accord, le contenu des clauses prévaut.
4. Toute modification accessoire, avenant et ajout au présent accord se fera par écrit
5. Le présent accord est régi par le RGPD et par la loi française dans le cadre de sa réalisation.
6. En cas de différend entre les Parties, une compétence exclusive est donnée aux tribunaux de Toulouse.
A la demande du Responsable de Traitement et sous réserve de la conclusion préalable des Conditions Générales de Vente et, le cas échéant, des conditions particulières, le Sous- traitant s’engage à lui envoyer le registre des traitements réalisés dans le cadre de la prestation de sous-traitance.
Le Sous-traitant a mis en œuvre un système de sauvegarde de données conforme à l’état de l’art en termes de conception, de moyens, d’organisation et de technologies pour garantir la confidentialité, la disponibilité et l’intégrité des fichiers et des données qui lui sont confiées ainsi que le fonctionnement optimal et continu dudit système.
Le Sous-traitant, sur demande du Responsable de traitement, lui transmet la documentation nécessaire à la pleine compréhension des mesures techniques et organisationnelles déployées dans le cadre de la prestation.
1. Communication des instructions documentées
Les instructions documentées du Responsable de traitement seront communiquées par voie électronique à l’adresse électronique infos@tvdici.fr ou directement auprès de l’interlocuteur en charge du suivi de son dossier et dont les coordonnées lui auront été transmises par le Sous-traitant.
2. Délégué à la protection des données du Responsable de traitement (ou responsable)
Le Responsable de traitement s’engage, lors de la conclusion du Contrat, à transmettre au Sous-traitant les coordonnées de la personne en charge de la protection des données dans sa structure.
3. Délégué à la protection des données du Sous-traitant (ou responsable)
Vous pouvez joindre le responsable en charge de la protection des données à l’adresse : rgpd@tvdici.fr