1. Objet de l’accord de sous-traitance
Le présent accord s’applique uniquement aux traitements de données à caractère personnel réalisés par L’AGENCE KN pour le compte de l’Entreprise dans le cadre de la fourniture de la Solution.
Comme indiqué dans le Contrat :
– L’Entreprise est responsable des traitements réalisés pour son compte par L’AGENCE KN dans le cadre de la fourniture de la Solution ;
– et L’AGENCE KN est son sous-traitant au sens du RGPD.
Conformément à l’article 28 du RGPD, un accord contractuel de sous-traitance doit être convenu entre le responsable de traitement, à savoir l’Entreprise, et le sous-traitant, à savoir L’AGENCE KN.
2. Description du traitement faisant l’objet de la sous-traitance
L’AGENCE KN est autorisée à traiter, pour le compte de l’Entreprise, les données à caractère personnel que l’Entreprise a besoin de traiter dans le cadre de la gestion de son Projet.
Service fourni par L’AGENCE KN : Mise à disposition d’une Solution permettant de générer un Cahier des Charges en ligne pour un projet web et de le partager à des Agences.
Catégorie de personnes concernées : – L’Entreprise
– Les Collaborateurs
– les personnes en charge du suivi du Projet
(ci-après les « personnes concernées »)
Données traitées : – Informations sur les Collaborateurs (nom, prénom, n° de téléphone, adresse email) ;
– Informations sur la personne en charge du suivi du Projet (nom, prénom, n° de téléphone, adresse email) ;
– Informations sur l’Entreprise (dénomination sociale, adresse email, n° de téléphone, adresse du siège, adresse email de l’Entreprise, date d’immatriculation, nombre de salariés, etc.).
– Informations du Compte : Identifiants de l’Entreprise
Finalité du traitement : Les données sont traitées aux fins de gestion de son Projet par l’Entreprise, et notamment pour les sous-finalités suivantes :
– créer un cahier des charges afin de formaliser ses besoins dans le cadre du Projet ;
– centraliser les informations sur le Projet sur un même outil ;
– partager le cahier des charges avec des Agences préalablement sélectionnées ;
– obtenir un ou plusieurs devis concernant la réalisation de son Projet ;
– comparer les prix des différentes Agences.
Seules les finalités indiquées ci-dessus peuvent être traitées dans le cadre de la fourniture de la Solution. Toute autre finalité mise en œuvre via la Solution par l’Entreprise sera déterminée par l’Entreprise à sa seule discrétion, et sera expressément exclue du champ d’application du présent accord de sous-traitance.
Nature des opérations réalisées sur les données personnelles par L’AGENCE KN : Toute opération rendue nécessaire pour la fourniture de la Solution, et en particulier :
– la consultation, la collecte, l’enregistrement et la conservation des données nécessaires pour fournir la Solution, et notamment pour assurer l’accès à la Solution ;
– l’hébergement de ces données ;
A l’issue de la relation contractuelle, les opérations réalisées sur les données consisteront pour L’AGENCE KN à restituer, effacer ou détruire les données selon le choix exprimé par l’Entreprise.
Durée de conservation L’AGENCE KN conservera les données pendant la durée de la relation contractuelle avec l’Entreprise.
3. Durée de l’accord de sous-traitance
Le présent accord de sous-traitance entre en vigueur au même moment que le Contrat auquel il est annexé et pour la même durée.
Il pourra être amendé dans les mêmes conditions que le Contrat.
4. Obligations générales de L’AGENCE KN en tant que sous-traitant
L’AGENCE KN s’engage à :
– traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance tel que décrit dans la présente annexe ;
– traiter les données conformément aux éventuelles instructions documentées que pourra fournir ultérieurement l’Entreprise.
Si L’AGENCE KN considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement l’Entreprise.
En outre, si L’AGENCE KN est tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer l’Entreprise de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
– garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent accord de sous-traitance ;
– veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent accord de sous-traitance :
o s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
o reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
– prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
5. Autorisation générale de recourir à la sous-traitance
L’AGENCE KN peut faire appel à un autre sous-traitant (ci-après le « sous-traitant ultérieur ») pour réaliser des traitements spécifiques. Dans ce cas, il informe préalablement et par écrit l’Entreprise de tout changement envisagé concernant l’ajout ou le remplacement par d’autres sous-traitants ultérieurs.
Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant ultérieur et les dates du contrat de sous-traitance.
L’Entreprise dispose d’un délai de quinze (15) jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si l’Entreprise n’a pas émis d’objection pendant le délai convenu.
Les sous-traitants ultérieurs actuels auxquels le sous-traitant fait appel sont les suivants :
Sous-traitant ultérieur Activité de traitement sous-traitées Existence de transfert de données en dehors de l’UE/l’EEE
Pour l’hébergement
Si L’AGENCE KN souhaite procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu de la règlementation précitée, il doit au préalable s’assurer que le sous-traitant ultérieur prend des garanties adéquates pour encadrer le transfert de données conformément aux exigences du RGPD, telle que :
(i) l’existence d’une décision d’adéquation de la Commission européenne,
(ii) des clauses standards de protection des données adoptées par la Commission européenne,
(iii) des codes de conduite approuvés conformément au RGPD,
(iv) des mécanismes de certification approuvés conformément au RGPD,
(v) des clauses contractuelles validées par la CNIL.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions de L’AGENCE KN. Il appartient à L’AGENCE KN de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, L’AGENCE KN demeure pleinement responsable devant l’Entreprise de l’exécution par le sous-traitant ultérieur de ses obligations.
6. Obligation d’informer les personnes concernées du traitement
Il appartient à l’Entreprise d’informer les personnes concernées de l’existence de son traitement de données à caractère personnel les concernant par tout moyen approprié en fonction des modalités de collecte des données personnelles, de la nature du traitement et de la catégorie des personnes concernées.
Ces mentions d’informations devront être concises, transparentes, complètes et compréhensibles conformément aux exigences du RGPD.
Elles devront notamment contenir les informations suivantes :
– Identité et coordonnées de l’organisme (responsable du traitement de données) ;
– Finalités (à quoi vont servir les données collectées) ;
– Base légale du traitement de données (c’est-à-dire ce qui donne le droit à un organisme de traiter les données) : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.) ;
– Caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « minimisation » des données) et conséquences pour la personne en cas de non-fourniture des données ;
– Destinataires ou catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants) ;
– Durée de conservation des données (ou critères permettant de la déterminer) ;
– Droits des personnes concernées (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements) ;
– Coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
– Droit d’introduire une réclamation auprès de la CNIL.
Pour en savoir plus, l’Entreprise est invité à consulter le site de la CNIL : https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence
7. Exercice de leurs droits RGPD par les personnes concernées
Dans la mesure du possible, L’AGENCE KN doit aider l’Entreprise à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès de L’AGENCE KN des demandes d’exercice de leurs droits, L’AGENCE KN doit adresser ces demandes à l’Entreprise dès réception par courrier électronique.
8. Notification en cas de violation des données
L’AGENCE KN notifie à l’Entreprise toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et le fera en adressant un courrier électronique à l’Entreprise à l’adresse email que celui-ci lui a fourni. Cette notification est accompagnée de toute documentation utile afin de permettre à l’Entreprise, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
9. Assistance
L’AGENCE KN aide l’Entreprise pour la réalisation d’analyses d’impact relative à la protection des données. Cette aide se limitera à fournir des informations techniques sur les mesures de sécurité mises en œuvre et ne dégage pas l’Entreprise de mener la réalisation de l’analyse d’impact qui lui incombe.
L’AGENCE KN aide également l’Entreprise pour la réalisation de la consultation préalable de l’autorité de contrôle.
Ces prestations d’assistance pourront faire l’objet d’une facturation supplémentaire raisonnable, compte-tenu de la nécessité de mobiliser des ressources techniques et humaines pour l’exécution de ces prestations.
10. Mesures de sécurité
L’AGENCE KN s’engage à mettre en œuvre des mesures de sécurité physiques, logiques et organisationnelles adaptées dont les suivantes :
– limiter l’accès à tout outil, logiciel, application ou autre utilisé pour les traitements aux seules personnes habilitées (notamment en mettant en place des systèmes d’authentification et de mots de passe appropriés) ;
– effectuer des sauvegardes fréquentes des données ;
– tracer les accès au système d’information de L’AGENCE KN.
L’Entreprise reconnait que les mesures techniques et organisationnelles listées ci-dessus répondent à ses attentes afin de garantir de façon adéquate la sécurité et la confidentialité des traitements qu’il souhaite mettre en œuvre.
L’Entreprise demeure néanmoins tenu de mettre en place au sein de son organisation une politique de sécurité qui lui soit propre afin notamment de :
– sensibiliser ses équipes à la confidentialité et à la protection des données personnelles ;
– indiquer à ses équipes les données personnelles qu’ils peuvent traiter et celles qu’elles ne doivent pas traiter, au regard des traitements de données personnelles que l’Entreprise réalisera par l’intermédiaire de L’AGENCE KN ;
– gérer les équipes habilitées à accéder aux données des personnes concernées (notamment en mettant en place des systèmes d’authentification et de mots de passe appropriés) ;
– sécuriser ses postes de travail et son système informatique (réseaux, terminaux etc.) ;
– sauvegarder de façon régulière ses données en local.
11. Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, L’AGENCE KN s’engage à restituer ou à supprimer les données sur demande expresse de l’Entreprise.
A défaut de demande expresse en ce sens formulée dans les 30 jours du terme de la prestation, L’AGENCE KN pourra sans faute supprimer les données de l’Entreprise dont il dispose.
12. Délégué à la protection des données (DPO)
Chaque Partie communique à l’autre l’identité et les coordonnées de son référant ou délégué à la protection des données si elle en désigne un, conformément à l’article 37 du RGPD.
13. Registre des catégories d’activités de traitement
L’AGENCE KN déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte de l’Entreprise, comprenant :
– le nom et les coordonnées de l’Entreprise, ceux des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
– les catégories de traitements effectués pour le compte de l’Entreprise ;
– le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
– dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.
14. Documentation
L’AGENCE KN met à la disposition de l’Entreprise la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
Toute demande d’audit et/ou d’inspection devra être demandée par l’Entreprise par lettre recommandée avec accusé de réception au moins 15 jours avant la date envisagée pour sa réalisation ainsi que sur l’identité des auditeurs envisagés.
L’AGENCE KN aura 7 jours pour confirmer à l’Entreprise la possibilité de cette date et faire d’éventuelles réserves objectives (non-concurrence notamment) sur les auditeurs envisagés.
Tout audit et/ou inspection ne pourra être réalisée qu’après qu’un accord de confidentialité ait été signé entre L’AGENCE KN et l’ensemble des auditeurs.