Annexe sous-traitant données personnelles

La présente Annexe a pour objet de définir les conditions dans lesquelles FYGR, en qualité de sous-traitant et dans le cadre des services définis dans le document, s’engage à effectuer pour le compte de ses utilisateurs, les opérations de traitement de données à caractère personnel conformément aux dispositions applicables en matière de protection des données à caractère personnel, notamment la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ainsi que le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018 (ci-après « RGPD »).

Aux fins des présentes, FYGR agit donc en tant que « sous-traitant » dans les cas suivants : lorsque le client stocke ou donne accès à des informations personnelles relatives à des tiers via l’utilisation du service Budgea API.

L’utilisateur est quant à lui présumé agir en tant que « responsable de traitement » au sens des définitions données par le RGPD.

Dans le cadre de leurs relations contractuelles, les parties s’engagent ainsi chacune pour ce qui la concerne à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel.

Article 1. Définitions

Pour les besoins des présentes, les termes suivants ont la même signification que celle qui leur est donnée dans le RGPD :

Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Données sensibles ou catégories de données particulières : données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. (Article 9 du RGPD)

Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Destinataire : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État Utilisateur ne sont pas considérées comme des destinataires ; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.

 

Article 2. Description des traitements faisant l’objet de la sous-traitance

FYGR est autorisée, en tant que Sous-traitant agissant selon les instructions de l’utilisateur, à traiter les Données à caractère personnel du Responsable du traitement dans la mesure nécessaire à la fourniture des services.

La nature des opérations menées par FYGR concernant les Données à caractère personnel peut être le stockage des informations et/ou tout autre service tel que décrit dans les CGU. Le type de Données à caractère personnel et les catégories de personnes concernées sont déterminés et contrôlés par l’utilisateur, à sa seule discrétion. Les activités de traitement sont effectuées par FYGR pour la durée prévue aux CGU.

Article 3. Obligations de FYGR  en qualité de sous-traitant

La société FYGR  s’engage en qualité de sous-traitant à :

  1. Traiter les Données à caractère personnel uniquement aux fins de réalisation des services ;
  2. Ne pas accéder ou utiliser les Données à caractère personnel à d’autres fins que celles nécessaires à l’exécution des services ;
  3. Traiter les Données à caractère personnel conformément aux instructions documentées de l’utilisateur ;
  4. Informer l’utilisateur si à son avis et compte tenu des informations dont elle dispose, une des instructions constitue une violation au RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats Utilisateurs relative à la protection des données.
  5. Garantir la confidentialité des Données à caractère personnel traitées dans le cadre de l’exercice de ses missions ;
  6. Le cas échéant, veiller à ce que les utilisateurs de son personnel autorisés à traiter les Données à caractère personnel :
  • s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
  1. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
  2. Sous-traitants ultérieurs :

FYGR peut engager un autre sous-traitant pour traiter les Données personnelles dans le cadre de l’exécution des services (« Sous-traitant ultérieur »). L’utilisateur autorise expressément FYGR à engager ces sociétés en tant que Sous-traitants ultérieurs.

En tout état de cause, le Sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions de FYGR. Il appartient à FYGR de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, FYGR  demeurerait pleinement responsable devant l’utilisateur de l’exécution par l’autre sous-traitant de ses obligations.

  1. Droit d’information des personnes concernées :

L’utilisateur en tant que Responsable du traitement est pleinement responsable de l’information des personnes concernées concernant leurs droits et du respect de ces droits, y compris les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité.

  1. Exercice des droits des personnes :

FYGR fournit la coopération et l’assistance, dans la mesure où cela est raisonnablement nécessaire, pour répondre aux demandes des personnes concernées. Cette coopération et cette assistance raisonnable peuvent consister à (a) communiquer à l’utilisateur toute demande reçue directement de la personne concernée et (b) permettre au Responsable du traitement de concevoir et de déployer les mesures techniques et organisationnelles nécessaires pour répondre aux demandes des personnes concernées.

L’utilisateur, en tant que Responsable du traitement, est seul responsable des réponses à ces demandes.

L’utilisateur reconnaît et convient que, dans l’éventualité où une telle coopération et assistance nécessiterait des ressources importantes de la part de FYGR, cela pourra être facturé à l’utilisateur à condition de le lui notifier et d’obtenir son accord au préalable.

  1. Notification des violations de données à caractère personnel :

FYGR s’engage à notifier par tous moyens à l’utilisateur toute violation de données à caractère personnel dans un délai maximum de 72 (soixante-douze) heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre à l’utilisateur, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente (CNIL).

  1. Aide de FYGR dans le cadre du respect par l’utilisateur de ses obligations :

FYGR  s’engage dans la mesure du possible et si cela s’avérait nécessaire à aider l’utilisateur, pour la réalisation d’analyses d’impact relative à la protection des données.

FYGR s’engage également, si cela était nécessaire, à aider l’utilisateur pour la réalisation de la consultation préalable de l’autorité de contrôle (CNIL).

  1. Mesures de sécurité :

FYGR met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité, la confidentialité, l’intégrité des traitements de données et protéger les données contre la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

  1. Sort des données :

À la fin du service (notamment en cas de résiliation des CGU), FYGR s’engage à supprimer tout contenu (notamment les données, fichiers, etc.) reproduit, stocké, hébergé ou autrement utilisé par l’utilisateur dans le cadre des services, sauf si une demande émise par une autorité légale ou judiciaire compétente, ou la loi applicable de l’Union européenne ou d’un État Utilisateur de l’Union européenne, en exigent autrement.

L’utilisateur est seul responsable de faire en sorte que les opérations nécessaires (telles que la sauvegarde, le transfert vers une solution tierce, etc.) à la conservation des Données à caractère personnel soient effectuées, notamment avant la résiliation ou l’expiration des services, et avant de procéder à toute opération de suppression, de mise à jour ou de réinstallation des services.

À cet égard, l’utilisateur est informé que la résiliation et l’expiration du service pour quelque raison que ce soit, ainsi que certaines opérations de mise à jour ou de réinstallation des services, peuvent automatiquement entraîner la suppression irréversible de tout contenu reproduit, stocké, hébergé ou autrement utilisé par l’utilisateur dans le cadre des services, ce compris toute sauvegarde potentielle.

  1. Registre des catégories d’activités de traitement :

FYGR  déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte de l’utilisateur comprenant :

  1. le nom et les coordonnées de l’utilisateur pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
  2. les catégories de traitements effectués pour le compte de l’utilisateur ;
  3. le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l’existence de garanties appropriées ;
  4. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.
  1. Documentation :

FYGR met à la disposition de ses utilisateurs la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par l’utilisateur ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Dans le cadre de tels audits, l’utilisateur ou l’auditeur mandaté par lui ne seront toutefois pas autorisés à accéder aux secrets des affaires de FYGR, aux informations stratégiques de cette dernière ou aux informations que FYGR s’est engagée à garder confidentielles à l’égard de ses autres clients et/ou partenaires. FYGR pourra s’opposer à toute mesure de contrôle de l’utilisateur ou de l’auditeur mandaté par lui qui serait susceptible de leur donner accès à de telles données ou informations. FYGR veillera par ailleurs en tout état de cause à ce que l’auditeur et, plus généralement, le personnel procédant à l’audit soient soumis à des obligations de confidentialité appropriées.

 

Article 4. Obligations de l’utilisateur en tant que responsable de traitement vis-à-vis de FYGR

L’utilisateur s’engage à respecter les obligations qui lui incombent en tant que responsable de traitement en application du RGPD. A ce titre, il lui appartient notamment de s’assurer que :

  • le traitement des données personnelles a une base juridique appropriée (par exemple, le consentement de la personne concernée, l’intérêt légitime du responsable du traitement ou une disposition légale, etc.) ;
  • les registres de traitement de données sont mis à jour ;
  • toutes les formalités et procédures requises (telles qu’une analyse d’impact, une notification ou une demande d’autorisation à l’autorité de contrôle ou à tout autre organisme) ont le cas échéant été effectuées ;
  • les personnes concernées sont informées du traitement des données à caractère personnel de façon concise, transparente, intelligible et facilement accessible ;
  • les personnes concernées ont la possibilité d’exercer leurs droits, comme prévu par le RGPD ;
  • des mesures techniques et organisationnelles sont mises en œuvre au sein de ses propres systèmes et opérations qui ne relèvent pas du périmètre des services afin d’assurer la sécurité des traitements de données à caractère personnel.

En outre, l’utilisateur s’engage à :

  • documenter par écrit toute instruction concernant le traitement des données ;
  • veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part de FYGR ;
  • superviser le traitement, y compris réaliser les audits et les inspections auprès de FYGR, dans les conditions décrites ci-dessus.