Sécurité et Traitement des Données
1. Accord sur le traitement des données
Aux fins de l’article 28(3) du Règlement 2016/679 (le RGPD)
entre
CVR
(le responsable du traitement)
Et
Parent ApS
CVR-nr. 37407747
Rentemestervej 2A,
Copenhague NV 2400
(le sous-traitant)
chacun une « partie » ; ensemble, les « parties »
ONT CONVENU des clauses contractuelles suivantes (les Clauses) afin de répondre aux exigences du RGPD et d’assurer la protection des droits de la personne concernée.
- Table des matières
- Préambule
- Droits et obligations du responsable du traitement
- Le sous-traitant agit selon les instructions
- Confidentialité
- Sécurité du traitement
- Utilisation de sous-traitants
- Transfert de données vers des pays tiers ou des organisations internationales
- Assistance au responsable du traitement
- Notification d’une violation de données personnelles
- Effacement et restitution des données
- Audit et inspection
- Entrée en vigueur et résiliation
- Contacts et points de contact du responsable du traitement et du sous-traitant
Annexe A : Informations sur le traitement
Annexe B : Sous-traitants autorisés
Annexe C : Instructions relatives à l'utilisation des données personnelles
Annexe D : « Azure, Aperçu des processus de sécurité »…
2. Préambule
- Ces clauses contractuelles (les Clauses) définissent les droits et obligations du responsable du traitement et du sous-traitant lors du traitement des données personnelles pour le compte du responsable du traitement.
- Les Clauses sont conçues pour garantir la conformité des parties à l’article 28(3) du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données).
- Dans le cadre de la gestion de la plateforme de garde d’enfants appelée « Parent », le sous-traitant traitera des données personnelles pour le compte du responsable du traitement conformément aux Clauses.
- Les Clauses prévalent sur toute disposition similaire contenue dans d’autres accords entre les parties.
- Quatre annexes sont jointes aux Clauses et font partie intégrante de celles-ci.
- L’Annexe A contient des détails sur le traitement des données personnelles, y compris l’objectif et la nature du traitement, le type de données personnelles, les catégories de personnes concernées et la durée du traitement.
- L’Annexe B contient les conditions du responsable du traitement concernant l’utilisation de sous-traitants par le sous-traitant et une liste des sous-traitants autorisés.
- L’Annexe C contient les instructions du responsable du traitement relatives au traitement des données personnelles, les mesures de sécurité minimales à mettre en œuvre par le sous-traitant et les modalités d’audit du sous-traitant et de tout sous-traitant.
- L’Annexe D contient « Azure, Aperçu des processus de sécurité ».
- Les Clauses et leurs annexes doivent être conservées par écrit, y compris sous forme électronique, par les deux parties.
- Les Clauses n’exemptent pas le sous-traitant des obligations auxquelles il est soumis en vertu du Règlement Général sur la Protection des Données (le RGPD) ou d’autres législations applicables.
3. Droits et obligations du responsable du traitement
- Ces clauses contractuelles (les Clauses) définissent les droits et obligations du responsable du traitement et du sous-traitant lors du traitement des données personnelles pour le compte du responsable du traitement.
- Le responsable du traitement a le droit et l’obligation de prendre des décisions sur les finalités et les moyens du traitement des données personnelles.
- Le responsable du traitement est responsable, entre autres, de s’assurer que le traitement des données personnelles, qui est confié au sous-traitant, repose sur une base légale.
4. Le sous-traitant agit selon les instructions
- Le sous-traitant ne doit traiter les données personnelles que sur instruction documentée du responsable du traitement, sauf si une obligation légale de l’Union ou d’un État membre à laquelle le sous-traitant est soumis l’exige. Ces instructions sont précisées dans les annexes A et C. Des instructions ultérieures peuvent également être données par le responsable du traitement pendant toute la durée du traitement des données personnelles, mais ces instructions doivent toujours être documentées et conservées par écrit, y compris sous forme électronique, en lien avec les Clauses.
- Le sous-traitant doit immédiatement informer le responsable du traitement si, selon lui, les instructions fournies par ce dernier contreviennent au RGPD ou aux dispositions applicables de protection des données de l’UE ou d’un État membre.
5. Confidentialité
- Le sous-traitant ne doit accorder l’accès aux données personnelles traitées pour le compte du responsable du traitement qu’aux personnes sous son autorité qui se sont engagées à respecter la confidentialité ou qui sont soumises à une obligation légale de confidentialité appropriée, et ce, uniquement sur la base du besoin de savoir. La liste des personnes ayant accès doit être régulièrement révisée. Sur la base de cette révision, l’accès aux données personnelles peut être retiré si celui-ci n’est plus nécessaire, et ces données ne doivent alors plus être accessibles à ces personnes.
6. Sécurité du traitement
- L’article 32 du RGPD stipule qu’en tenant compte de l’état de l’art, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Le responsable du traitement doit évaluer les risques liés aux droits et libertés des personnes concernées et mettre en œuvre des mesures pour atténuer ces risques. Selon leur pertinence, ces mesures peuvent inclure :
- Pseudonymisation et chiffrement des données personnelles ;
- capacité à garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
- capacité à restaurer la disponibilité et l’accès aux données personnelles en temps opportun en cas d’incident physique ou technique ;
- processus de test, d’évaluation et d’appréciation réguliers de l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
- Conformément à l’article 32 du RGPD, le sous-traitant doit également – indépendamment du responsable du traitement – évaluer les risques liés aux droits et libertés des personnes concernées par le traitement et mettre en œuvre des mesures pour atténuer ces risques. À cet effet, le responsable du traitement doit fournir au sous-traitant toutes les informations nécessaires pour identifier et évaluer ces risques.
- De plus, le sous-traitant doit assister le responsable du traitement dans le respect de ses obligations conformément à l’article 32 du RGPD, notamment en fournissant des informations sur les mesures techniques et organisationnelles déjà mises en place par le sous-traitant, ainsi que toutes autres informations nécessaires pour permettre au responsable du traitement de se conformer à ses obligations. Si, par la suite, le responsable du traitement estime que des mesures supplémentaires doivent être mises en œuvre pour atténuer les risques identifiés, ces mesures devront être précisées dans l’Annexe C.
7. Utilisation de sous-traitants
- Le sous-traitant doit répondre aux exigences spécifiées à l’article 28(2) et (4) du RGPD pour pouvoir engager un autre sous-traitant.
- Le sous-traitant ne doit donc pas engager un autre sous-traitant pour l’exécution des Clauses sans l’autorisation écrite générale préalable du responsable du traitement.
- Lorsqu’un sous-traitant est engagé pour réaliser des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection des données que celles prévues par les Clauses doivent être imposées à ce sous-traitant par le biais d’un contrat ou d’un autre acte juridique en vertu du droit de l’UE ou de l’État membre concerné. Ce contrat doit notamment fournir des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences des Clauses et du RGPD.
Le sous-traitant est ainsi responsable de veiller à ce que le sous-traitant engagé respecte au moins les obligations auxquelles le sous-traitant initial est soumis en vertu des Clauses et du RGPD.
- Une copie du contrat du sous-traitant ainsi que toute modification ultérieure doivent être soumises au responsable du traitement à sa demande, afin de lui permettre de vérifier que les mêmes obligations en matière de protection des données que celles prévues par les Clauses sont bien imposées au sous-traitant. Les clauses relatives aux aspects commerciaux qui n’affectent pas le contenu juridique de la protection des données du contrat du sous-traitant ne nécessitent pas d’être soumises au responsable du traitement.
- Le sous-traitant doit convenir d’une clause de bénéficiaire tiers avec le sous-traitant, stipulant qu’en cas de faillite du sous-traitant principal, le responsable du traitement devient un bénéficiaire tiers du contrat avec le sous-traitant et a le droit de faire valoir ce contrat contre le sous-traitant engagé, par exemple en lui donnant des instructions pour supprimer ou restituer les données personnelles.
- Si le sous-traitant ne respecte pas ses obligations en matière de protection des données, le sous-traitant principal demeure entièrement responsable envers le responsable du traitement pour l’exécution des obligations du sous-traitant. Cela n’affecte pas les droits des personnes concernées en vertu du RGPD, notamment ceux prévus aux articles 79 et 82 du RGPD, à l’encontre du responsable du traitement et du sous-traitant, y compris le sous-traitant secondaire.
8. Transfert de données vers des pays tiers ou des organisations internationales
- Tout transfert de données personnelles vers des pays tiers ou des organisations internationales par le sous-traitant ne peut avoir lieu que sur la base d’instructions documentées du responsable du traitement et doit toujours être effectué en conformité avec le Chapitre V du RGPD.
- Dans le cas où un transfert vers des pays tiers ou des organisations internationales, qui n’a pas été instruit par le responsable du traitement, est requis en vertu du droit de l’UE ou d’un État membre auquel le sous-traitant est soumis, ce dernier doit informer le responsable du traitement de cette obligation légale avant le traitement, sauf si cette loi interdit une telle information pour des raisons importantes d’intérêt public.
- Sans instructions documentées du responsable du traitement, le sous-traitant ne peut donc pas, dans le cadre des Clauses :
- transférer des données personnelles à un responsable du traitement ou à un sous-traitant dans un pays tiers ou une organisation internationale
- transférer le traitement des données personnelles à un sous-traitant situé dans un pays tiers
- traiter les données personnelles dans un pays tiers
- Les instructions du responsable du traitement concernant le transfert de données personnelles vers un pays tiers, y compris, le cas échéant, l’outil de transfert sur lequel elles reposent en vertu du Chapitre V du RGPD, doivent être précisées dans l’Annexe C.6.
- Les Clauses ne doivent pas être confondues avec les clauses types de protection des données au sens de l’article 46(2)(c) et (d) du RGPD, et ne peuvent être invoquées par les parties comme un outil de transfert au titre du Chapitre V du RGPD.
9. Assistance au responsable du traitement
- En tenant compte de la nature du traitement, le sous-traitant doit aider le responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour lui permettre de répondre aux demandes d’exercice des droits des personnes concernées conformément au Chapitre III du RGPD.
Cela implique que le sous-traitant doit, dans la mesure du possible, assister le responsable du traitement dans le respect des obligations suivantes :
- le droit d’être informé lors de la collecte de données personnelles auprès de la personne concernée
- le droit d’être informé lorsque les données personnelles n’ont pas été obtenues auprès de la personne concernée
- le droit d’accès de la personne concernée
- le droit de rectification
- le droit à l’effacement (« droit à l’oubli »)
- le droit à la limitation du traitement
- l’obligation de notification concernant la rectification ou l’effacement de données personnelles ou la limitation du traitement
- le droit à la portabilité des données
- le droit d’opposition
- le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage
- En plus de l’obligation du sous-traitant d’assister le responsable du traitement conformément à la Clause 6.3., le sous-traitant doit également, en tenant compte de la nature du traitement et des informations dont il dispose, aider le responsable du traitement à assurer la conformité avec :
- l’obligation du responsable du traitement de notifier à l’autorité de contrôle compétente (Datatilsynet) toute violation de données personnelles, sans retard injustifié et, si possible, au plus tard 72 heures après en avoir pris connaissance, sauf si cette violation est peu susceptible d’entraîner un risque pour les droits et libertés des personnes concernées ;
- l’obligation du responsable du traitement de communiquer sans retard injustifié la violation de données personnelles à la personne concernée, lorsque cette violation est susceptible d’entraîner un risque élevé pour ses droits et libertés ;
- l’obligation du responsable du traitement d’effectuer une évaluation de l’impact des opérations de traitement envisagées sur la protection des données personnelles (analyse d’impact relative à la protection des données) ;
- l’obligation du responsable du traitement de consulter l’autorité de contrôle compétente (Datatilsynet) avant le traitement, lorsque l’analyse d’impact relative à la protection des données indique que le traitement entraînerait un risque élevé en l’absence de mesures prises par le responsable du traitement pour atténuer ce risque.
- Les parties doivent définir dans l’Annexe C les mesures techniques et organisationnelles appropriées par lesquelles le sous-traitant est tenu d’assister le responsable du traitement, ainsi que l’étendue et le cadre de l’assistance requise. Cela s’applique aux obligations prévues dans les Clauses 9.1 et 9.2.
10. Notification d’une violation de données personnelles
- En cas de violation de données personnelles, le sous-traitant doit, sans retard injustifié après en avoir pris connaissance, notifier la violation de données personnelles au responsable du traitement.
- La notification du sous-traitant au responsable du traitement doit, si possible, avoir lieu dans les 24 heures suivant la prise de connaissance de la violation de données personnelles par le sous-traitant, afin de permettre au responsable du traitement de respecter son obligation de notifier la violation de données personnelles à l’autorité de contrôle compétente, conformément à l’article 33 du RGPD.
- Conformément à la Clause 9(2)(a), le sous-traitant doit aider le responsable du traitement à notifier la violation de données personnelles à l’autorité de contrôle compétente, ce qui signifie que le sous-traitant est tenu d’aider à obtenir les informations listées ci-dessous qui, en vertu de l’article 33(3) du RGPD, doivent être incluses dans la notification du responsable du traitement à l’autorité de contrôle compétente :
- La nature des données personnelles, y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d’enregistrements de données personnelles concernés ;
- Les conséquences probables de la violation de données personnelles ;
- Les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs.
- Les parties doivent définir dans l’Annexe C tous les éléments à fournir par le sous-traitant lorsqu’il assiste le responsable du traitement dans la notification d’une violation de données personnelles à l’autorité de contrôle compétente.
11. Effacement et restitution des données
- À la fin de la prestation des services de traitement des données personnelles, le sous-traitant est tenu de restituer toutes les données personnelles au responsable du traitement et de supprimer les copies existantes, sauf si une obligation légale de l’Union ou d’un État membre exige la conservation des données personnelles.
12. Audit et inspection
- Le sous-traitant doit mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l’article 28 du RGPD et dans les Clauses, et permettre la réalisation d’audits, y compris des inspections, effectués par le responsable du traitement ou par un autre auditeur mandaté par le responsable du traitement.
- Les procédures applicables aux audits du responsable du traitement, y compris les inspections du sous-traitant et des sous-traitants secondaires, sont spécifiées dans les Annexes C.7.
- Le sous-traitant doit fournir aux autorités de contrôle, qui ont accès aux installations du responsable du traitement et du sous-traitant conformément à la législation applicable, ou à leurs représentants, un accès aux installations physiques du sous-traitant sur présentation d’une identification appropriée.
13. Accord des parties sur d’autres conditions
- Les parties peuvent convenir d’autres clauses concernant la fourniture du service de traitement des données personnelles, précisant par exemple la responsabilité, tant que celles-ci ne contredisent pas directement ou indirectement les Clauses ou ne portent pas atteinte aux droits et libertés fondamentaux de la personne concernée et à la protection offerte par le RGPD.
14. Entrée en vigueur et résiliation
- Les Clauses prendront effet à la date de signature des deux parties.
- Les deux parties sont en droit d’exiger une renégociation des Clauses si des modifications législatives ou l’inadéquation des Clauses justifient une telle renégociation.
- Les Clauses s’appliquent pendant toute la durée de la fourniture des services de traitement des données personnelles. Pendant cette période, les Clauses ne peuvent être résiliées, sauf si d’autres Clauses régissant la prestation des services de traitement des données personnelles ont été convenues entre les parties.
- Si la fourniture des services de traitement des données personnelles prend fin et que les données personnelles sont supprimées ou restituées au responsable du traitement conformément à la Clause 11.1. et à l’Annexe C.4., les Clauses peuvent être résiliées par notification écrite de l’une ou l’autre des parties.
- Signature
- Au nom du responsable du traitement
- Nom
- Poste
- Date
- Signature
- Au nom du sous-traitant
- Nom Firas El Bizri
- Poste Fondateur et associé directeur
- Signature
15. Contacts et points de contact du responsable du traitement et du sous-traitant
- Les parties peuvent se contacter en utilisant les contacts/points de contact suivants :
- Les parties sont tenues de s’informer mutuellement et en continu de tout changement concernant les contacts/points de contact.
Facturation, automatisation de la facturation et finances intelligentes
Communication et engagement
Développement et progrès de l'enfant Suivre
Liste d'attente, formulaires et assiduité
Gestion d'équipe sans effort
Des mises à jour quotidiennes qui comptent
Blogs
Études de cas et témoignages
FAQs
Webinaires
Centre d'aide
