Engagements partenaires sur la protection des données personnelles
Le Groupe TDS accorde une importance particulière à la protection des données de ses utilisateurs.
En tant qu’entreprise le Groupe est tenu de respecter à la lettre le Règlement Général sur la Protection des Données et de s’assurer que les partenaires avec lesquels il travaille y accordent la même importance.
Objet
Les présentes clauses ont pour objet de définir les conditions dans lesquelles le partenaire s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).
Par ailleurs le sous-traitant s’engage à respecter les règles de sécurité imposées par la Politique de Sécurité des Systèmes d’Informations du Groupe TDS.
Obligations du sous-traitant vis-à-vis du responsable de traitement
Le sous-traitant s’engage à respecter les règles suivante :
- Traitement des données
Le sous-traitant traitera les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
- Respect des instructions
Il traitera les données conformément aux instructions documentées du responsable de traitement figurant en annexe du présent contrat.
Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données, il en informe immédiatement le responsable de traitement.
En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public
- Confidentialité
Le sous-traitant garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat
- Autorisations
Il veillera à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel
- Outils
Il s’engage à prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut
- Sous-traitance ultérieure
En cas de recrutement d’autres sous-traitants ultérieurs, le sous-traitant doit recueillir l’autorisation écrite, préalable et spécifique du responsable de traitement.
Il doit également s’assurer de la conformité du sous-traitant vis-à-vis du RGPD.
- Droit d’information des personnes concernées
Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
- Exercice des droits des personnes
Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à rgpd@groupe-tds.fr
- Notification des violations de donnés à caractère personnel
Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 2 heures après en avoir pris connaissance et par courrier électronique à rgpd@groupe-tds.fr. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
La notification contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
- Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations
Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.
Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
- Mesures de sécurité
Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :
- la pseudonymisation et le chiffrement des données à caractère personnel
- les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement
- les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique
- une procédure visant à tester, à ‘analyser et à ‘évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement
- La protection, la restitution ou la destruction de tout support physique contenant des données personnelles (ex : impression)
- Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à détruire toutes les données à caractère personnel.
- Délégué à la protection des données
Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données
- Registre des catégories d’activités de traitement
Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :
- le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données;
- les catégories de traitements effectués pour le compte du responsable du traitement;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
- la pseudonymisation et le chiffrement des données à caractère personnel;
- des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
- une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
- Documentation
Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.