Security and Data Processing

CONTRAT DE SOUS-TRAITANCE DES DONNÉES

Conformément à l'article 28(3) du Règlement 2016/679 (le RGPD)

entre

CVR

(le responsable du traitement)

Parent ApS

CVR-nr. 37407747

Rentemestervej 2A,
Copenhague NV 2400

(le sous-traitant)

chacune une « partie » ; ensemble, les « parties »

ONT CONVENU des clauses contractuelles suivantes (les Clauses) afin de satisfaire aux exigences du RGPD et de garantir la protection des droits des personnes concernées.

Table des matières
Préambule
Droits et obligations du responsable du traitement
Le sous-traitant agit conformément aux instructions
Confidentialité
Sécurité du traitement
Utilisation de sous-traitants
Transfert de données vers des pays tiers ou des organisations internationales
Assistance au responsable du traitement
Notification de violation de données personnelles
Effacement et restitution des données
Audit et inspection
Autres termes convenus par les parties
Entrée en vigueur et résiliation
Contacts du responsable du traitement et du sous-traitant

Annexe A – Informations sur le traitement

Annexe B – Sous-traitants autorisés

Annexe C – Instructions relatives à l’utilisation des données personnelles

Annexe D – « Azure, Vue d'ensemble des processus de sécurité »

Préambule
1. Les présentes Clauses contractuelles définissent les droits et obligations du responsable du traitement et du sous-traitant dans le cadre du traitement de données à caractère personnel pour le compte du responsable du traitement.
2. Ces Clauses visent à garantir la conformité des parties à l’article 28(3) du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
3. Dans le cadre de la fourniture de la plateforme de garde d’enfants « Parent », le sous-traitant traitera des données à caractère personnel pour le compte du responsable du traitement conformément aux présentes Clauses.
4. Les Clauses prévalent sur toute disposition similaire figurant dans d’autres accords entre les parties.
5. Quatre annexes sont jointes aux Clauses et en font partie intégrante.
6. L’annexe A détaille le traitement des données personnelles : finalité, nature, types de données, catégories de personnes concernées et durée du traitement.
7. L’annexe B indique les conditions du responsable du traitement pour l’usage de sous-traitants, ainsi que la liste des sous-traitants autorisés.
8. L’annexe C contient les instructions du responsable du traitement, les mesures de sécurité minimales à appliquer, ainsi que les modalités d’audit.
9. L’annexe D contient « Azure, Vue d'ensemble des processus de sécurité ».
10. Les Clauses et les annexes doivent être conservées par écrit, y compris par voie électronique.
11. Les Clauses ne dispensent pas le sous-traitant de ses obligations en vertu du RGPD ou d’autres lois.

Droits et obligations du responsable du traitement
1. Le responsable du traitement est chargé de veiller à ce que le traitement soit conforme au RGPD (voir article 24), à la législation de l’UE ou des États membres, ainsi qu’aux présentes Clauses.
2. Le responsable du traitement a le droit et l’obligation de décider des finalités et des moyens du traitement des données à caractère personnel.
3. Il doit notamment garantir que le traitement effectué par le sous-traitant repose sur une base légale.

Le sous-traitant agit conformément aux instructions
1. Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, sauf si une obligation légale de l’Union ou d’un État membre exige autrement. Ces instructions sont spécifiées dans les annexes A et C. Des instructions supplémentaires peuvent être émises durant toute la période de traitement, mais elles doivent toujours être documentées et conservées par écrit, y compris sous forme électronique, en lien avec les Clauses.
2. Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction enfreint le RGPD ou toute disposition applicable en matière de protection des données de l’Union ou des États membres.

Confidentialité
1. Le sous-traitant ne donne accès aux données personnelles traitées pour le compte du responsable du traitement qu’aux personnes relevant de son autorité, soumises à une obligation de confidentialité, légale ou contractuelle, et uniquement si nécessaire. La liste des personnes autorisées est régulièrement revue. Si l’accès n’est plus justifié, il est retiré et les données deviennent inaccessibles à ces personnes.
2. Sur demande, le sous-traitant doit prouver que les personnes concernées sont bien soumises à l’obligation de confidentialité mentionnée.

Sécurité du traitement
1. L’article 32 du RGPD prévoit que, en tenant compte de l’état des connaissances, des coûts, de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Ces mesures peuvent inclure :
  1. la pseudonymisation et le chiffrement des données à caractère personnel ;
  2. la capacité à garantir la confidentialité, l’intégrité, la disponibilité et la résilience permanentes des systèmes et services de traitement ;
  3. la capacité à rétablir la disponibilité et l’accès aux données en temps utile en cas d’incident physique ou technique ;
  4. un processus visant à tester, analyser et évaluer régulièrement l’efficacité des mesures de sécurité.
2. Conformément à l’article 32, le sous-traitant doit aussi, indépendamment, évaluer les risques et mettre en œuvre des mesures pour les atténuer. À cette fin, le responsable du traitement fournit toutes les informations nécessaires à l’identification et à l’évaluation des risques.
3. De plus, le sous-traitant assiste le responsable du traitement dans sa conformité à l’article 32, notamment en fournissant des informations sur les mesures de sécurité déjà mises en place ainsi que toute autre information nécessaire. Si, après évaluation, le responsable du traitement estime que des mesures supplémentaires sont nécessaires, il les précisera dans l’annexe C.

Utilisation de sous-traitants
1. Le sous-traitant doit respecter les exigences prévues aux articles 28(2) et 28(4) du RGPD pour pouvoir faire appel à un autre sous-traitant.
2. Il ne peut engager un autre sous-traitant sans l’autorisation préalable, générale et écrite du responsable du traitement.
3. Lorsqu’un sous-traitant est engagé, celui-ci est soumis aux mêmes obligations de protection des données que celles énoncées dans les présentes Clauses, via un contrat ou autre acte juridique prévu par le droit de l’Union ou d’un État membre, garantissant des mesures techniques et organisationnelles appropriées. Le sous-traitant principal reste responsable du respect par le sous-traitant secondaire de ces obligations.
4. Une copie du contrat avec le sous-traitant, ainsi que toute modification ultérieure, doit être transmise au responsable du traitement sur demande. Les clauses purement commerciales ne doivent pas obligatoirement être communiquées.
5. Le sous-traitant conclut une clause de tiers bénéficiaire avec tout sous-traitant, garantissant qu’en cas de faillite, le responsable du traitement peut faire valoir ses droits directement contre le sous-traitant (ex. : exiger l’effacement ou la restitution des données).
6. Si le sous-traitant ne respecte pas ses obligations, le sous-traitant initial demeure pleinement responsable vis-à-vis du responsable du traitement. Cela ne porte pas atteinte aux droits des personnes concernées, notamment les droits prévus aux articles 79 et 82 du RGPD.

Transfert de données vers des pays tiers ou des organisations internationales
1. Tout transfert de données vers un pays tiers ou une organisation internationale par le sous-traitant ne peut intervenir que sur instruction documentée du responsable du traitement et conformément au Chapitre V du RGPD.
2. Si un transfert est requis par la législation de l’UE ou d’un État membre, le sous-traitant en informe le responsable du traitement, sauf interdiction pour motif d’intérêt public important.
3. Sans instructions documentées, le sous-traitant ne peut :
  1. transférer les données à un responsable ou un sous-traitant dans un pays tiers ou une organisation internationale ;
  2. confier le traitement à un sous-traitant situé dans un pays tiers ;
  3. traiter lui-même les données dans un pays tiers.
4. Les instructions du responsable du traitement, y compris les outils de transfert utilisés selon le Chapitre V du RGPD, sont décrites dans l’annexe C.6.
5. Ces Clauses ne doivent pas être confondues avec les clauses types de protection des données prévues à l’article 46(2)(c) et (d) du RGPD, et ne constituent pas un mécanisme de transfert au sens du Chapitre V.

Assistance au responsable du traitement
1. En tenant compte de la nature du traitement, le sous-traitant aide le responsable du traitement, via des mesures techniques et organisationnelles appropriées, à répondre aux demandes des personnes concernées dans le cadre de l’exercice de leurs droits (Chapitre III du RGPD) :
  1. droit à l’information lors de la collecte des données ;
  2. droit à l’information en cas de collecte indirecte ;
  3. droit d’accès ;
  4. droit de rectification ;
  5. droit à l’effacement (« droit à l’oubli ») ;
  6. droit à la limitation du traitement ;
  7. obligation de notification en cas de rectification/effacement/limitation ;
  8. droit à la portabilité des données ;
  9. droit d’opposition ;
  10. droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage.
2. Le sous-traitant assiste aussi le responsable du traitement pour :
  1. notifier sans retard injustifié toute violation de données à l’autorité de contrôle, au plus tard 72 heures après en avoir eu connaissance ;
  2. informer la personne concernée si le risque est élevé ;
  3. réaliser une analyse d’impact sur la protection des données (AIPD) ;
  4. consulter l’autorité de contrôle préalablement en cas de risque élevé non atténué.
3. Les modalités de cette assistance, y compris les mesures techniques et organisationnelles, sont précisées dans l’annexe C.

Notification de violation de données personnelles
1. En cas de violation de données personnelles, le sous-traitant notifie le responsable du traitement sans retard injustifié après en avoir pris connaissance.
2. Dans la mesure du possible, la notification doit être effectuée dans les 24 heures afin de permettre au responsable du traitement de respecter son obligation de notification à l’autorité de contrôle compétente, conformément à l’article 33 du RGPD.
3. Conformément à la clause 9.2.a, le sous-traitant aide le responsable du traitement à notifier la violation à l’autorité compétente, en fournissant notamment :
  1. la nature des données concernées, y compris, si possible, les catégories et le nombre approximatif de personnes et d’enregistrements concernés ;
  2. les conséquences probables de la violation ;
  3. les mesures prises ou proposées pour y remédier, y compris les mesures pour en atténuer les effets négatifs éventuels.
4. Les éléments à fournir par le sous-traitant à cette fin sont définis dans l’annexe C.

Effacement et restitution des données
1. À la fin de la prestation de services de traitement des données, le sous-traitant est tenu de restituer toutes les données à caractère personnel au responsable du traitement et de supprimer toutes les copies existantes, sauf obligation légale de conservation en vertu du droit de l’Union ou d’un État membre.

Audit et inspection
1. Le sous-traitant met à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et dans les présentes Clauses, et permet la réalisation d’audits, y compris d’inspections, par le responsable du traitement ou un auditeur mandaté.
2. Les procédures applicables aux audits (y compris les inspections) du sous-traitant et de ses éventuels sous-traitants sont définies à l’annexe C.7.
3. Le sous-traitant autorise les autorités de contrôle compétentes, ou leurs représentants, à accéder à ses locaux physiques sur présentation d’une pièce d’identification appropriée, si la loi applicable le permet.

Autres termes convenus par les parties
1. Les parties peuvent convenir d’autres dispositions relatives à la prestation de services de traitement de données, notamment en matière de responsabilité, à condition qu’elles ne contredisent pas les présentes Clauses ni ne portent atteinte aux droits et libertés fondamentaux des personnes concernées, ni à la protection offerte par le RGPD.

Entrée en vigueur et résiliation
1. Les Clauses prennent effet à la date de signature par les deux parties.
2. Chacune des parties peut demander une renégociation des Clauses en cas de changement législatif ou d’inadéquation des Clauses.
3. Les Clauses s’appliquent pendant toute la durée de la prestation des services de traitement de données. Elles ne peuvent être résiliées que si d’autres Clauses encadrant le traitement de données ont été convenues.
4. En cas de fin des prestations et d’effacement ou de restitution des données conformément à la clause 11.1 et à l’annexe C.4., les Clauses peuvent être résiliées par notification écrite de l’une des parties.
5. - Signature
  Pour le responsable du traitement
  
  Nom
  
  Fonction
  
  Date
  
  Signature
  
  Pour le sous-traitant
  
  Nom : Firas El Bizri
  
  Fonction : Fondateur et associé gérant
  
  Date
  
  Signature

Contacts du responsable du traitement et du sous-traitant
1. Les parties peuvent se contacter via les coordonnées suivantes :
2. Les parties sont tenues de se notifier mutuellement toute modification de leurs coordonnées de contact.
  Nom
  Fonction
  Téléphone
  
  E-mail
  
  Nom : Firas El Bizri
  
  Fonction : Fondateur et associé
  
  Téléphone : +45 28282808
  
  E-mail : firas@parent.app

Ressources

Cadres

Référence

À propos de Parent

Légale