Acquérir

Accord de protection des données

1. Introduction

L’Accord de protection des données (ci-après “APD”) vise à régir l’utilisation des données à caractère personnel du Client, qui agit en tant que responsable du traitement (ci-après le “Client”), par Mantra, qui agit en tant que sous-traitant (ci-après le “Sous-traitant”) dans le cadre du contrat (ci-après le “Contrat”).

L'APD est une partie intégrante du contrat conclu et acceptée par les parties. En cas de contradiction entre le Contrat et l'APD, les obligations prévues dans l'APD prévalent en ce qui concerne les règles applicables en matière de protection des données.

Tous les termes relatifs à la protection des données utilisés dans l'APD (ex : responsable du traitement, sous-traitant, etc.) sont définis à l'article 4 du Règlement général pour la protection des données ("RGPD").

2. Déclaration

Le Sous-traitant déclare respecter l’intégralité des règles applicables en matière de protection des données que comprend le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ("RGPD") et la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ensemble appelé " règles applicables en matière de protection des données".

Le Sous-traitant déclare présenter toutes les garanties suffisantes pour répondre aux exigences des règles applicables en matière de protection des données et, plus particulièrement, pourgarantir la confidentialité et la protection des données du Client.

Le Sous-traitant déclare que l’intégralité de ses collaborateurs amenés à traiter les données à caractère personnel du Client sont engagés par une clause de confidentialité ou par tout autre acte juridique (ex : règles de bonne conduite, charte des systèmes d'information, etc.) permettant de garantir la confidentialité des données à caractère personnel du Client.

Le Sous-traitant déclare régulièrement former et sensibiliser ses collaborateurs sur les règles applicables en matière de protection des données.

3. Instructions

Le Sous-traitant s’engage à n’utiliser les données à caractère personnel du Client que surinstructions documentées de ce dernier.

Le Client s’engage à informer le Sous-traitant de toute modification  des instructions qui pourraient être menées quant à l’utilisation de ses données à caractère personnel.

Le Sous-traitant doit notifier au Client, dans les meilleurs délais, si les instructions documentées de ce dernier constituent une violation des règles applicables en matière de protection des données.

4. Conformité par défaut et dès la conception

Le sous-traitant fournit son service en l'état, dans le respect (i) de la conformité du service dès la conception et (ii) de la conformité du service par défaut. Le Sous-traitant fournit un service accompagné de toutes les fonctionnalités permettant au client de respecter ses obligations en tant que responsable du traitement.

En conséquence, le Sous-traitant n’est jamais responsable de l’utilisation non-conforme aux règles applicables en matière de protection des données du service par le Client.

5. Sécurité

Le Sous-traitant s’engage à garantir la sécurité des données à caractère personnel du Client et à mettre en œuvre toutes les techniques et organisationnelles nécessaires pour prévenir tout risque de violation de données.

6. Violation de données

Le Sous-traitant s'engage à notifier au Client, dans les meilleurs délais et, sous 48 heures ouvrées, après en avoir pris connaissance, toute violation de données qui serait susceptible de concerner les données à caractère personnel du Client.

Le Sous-traitant s'engage à fournir au Client, conformément aux dispositions de l'article 28 du RGPD, toutes les informations nécessaires au traitement de la violation de données par le Client.

En cas de violation de données, le Sous-traitant s’engage à prendre toutes les mesures nécessaires pour remédier et diminuer l’impact de la violation sur les données à caractère personnel du Client.

Sauf accord exprès, préalable et écrit du Client, le Sous-traitant n'est pas autorisé à à prendre en charge les notifications de violation de données auprès de l'autorité de contrôle française, la CNIL. De même, le Sous-traitant, n'est pas, par principe, autorisé à informer pour le compte du Client les personnes concernées par les traitements réalisés dans le cadre du Contrat.

7. Aide et assistance en matière de sécurité

Le Sous-traitant communique au Client, sur demande écrite, toutes les nécessairesetrequises sur les mesures de sécurité techniques et organisationnelles à mettre en œuvre pour garantir la sécurité de ses données à caractère personnel.

Le Sous-traitant communique au Client, sur demande écrite, toutes les informations nécessaires et requises pour assurer la réalisation d’une analyse d'impact (" PIA ") en lien direct avec le service fourni.

Le Sous-traitant n’est en revanche pas tenu d’assurer ou d’auditer la sécurité du Client ou encore de réaliser des analyses d’impact (“IAPD”) à la place et pour le compte du Client. Toute demande complémentaire à la communication d’informations peut faire l’objet d’un refus et, éventuellement, d’une prestation complémentaire tarifée.

8. Aide et assistance en matière de droits des personnes concernées 

Le Sous-traitant communique au Client, sur demande écrite, toutes les informations nécessaires et requises visant à ce que le Client puisse s’acquitter de son obligation de donner suite aux demandes des personnes concernées.

Le Sous-traitant exécute, sur demande écrite du Client, les actions techniques à entreprendre pour que le Client puisse s’acquitter de son obligation de donner suite aux demandes des personnes concernées.

Le Sous-traitant n’est en revanche pas tenu de gérer les demandes de droits des personnes à la place et pour le compte du Client. Toute demande complémentaire visant à assurer une telle gestion peut faire l’objet d’un refus et, éventuellement, d’une prestation complémentaire tarifée.

9. Sous-traitants ultérieurs

De manière générale, le Client accepte que le Sous-traitant recrute des Sous-traitants ultérieurs dans le cadre de l’exécution du service à condition d’informer le Client de tout changement concernant ces Sous-traitants ultérieurs intervenant par durant son exécution.

Le Client peut émettre des objections par lettre recommandée avec accusé de réception i) si le Sous-traitant ultérieur est un de ses concurrents, ii) si le client et le Sous-traitant ultérieur sont dans une situation de précontentieux ou de contentieux, et iii) si le Sous-traitant ultérieur a fait l’objet d’une condamnation par une autorité de contrôle en matière de protection des données dans l’année de son recrutement par le Sous-traitant. Chacune de ses situations doit être démontrée.

Dans l'hypothèse où l'objection serait recevable, le Sous-traitant dispose d'un délai de 6 mois à compter de la réception de l'objection pour modifier le Sous-traitant ultérieur ou pour garantir le respect des règles applicables en matière de protection des données par ce Sous-traitant ultérieur.

Dans tous les cas, le Sous-traitant s’engage à ne recruter que des Sous-traitants ultérieurs qui présentent les garanties nécessaires et suffisantes pour assurer la sécurité et la confidentialité des données à caractère du Client.

A ce titre, le Sous-traitant s'engage i) à contrôler ses Sous-traitants ultérieurs et ii) à ce que le contrat conclu avec le Sous-traitant ultérieur utilisé dans le cadre du service contienne des obligations similaires à à celles prévues dans l'APD.

En tout état de cause, le Sous-traitant demeure responsable des actes du Sous-traitant ultérieur dans le cadre du Contrat.

10. Sort des données à caractère personnel

Le Client informe le Sous-traitant, par écrit avant la fin de la relation commerciale, de son choix (option 1) de lui restituer les données à caractère personnel puis de les supprimer ainsi que toutes les copies existantes ou, (option 2) de supprimer directement les données à caractère personnel ainsi que toutes les copies existantes, ou (option 3) de transférer les données à caractère personnel vers un nouveau prestataire puis de les supprimer ainsi que toutes les copies existantes. Sauf disposition contraire dans le Contrat, l’option 3 doit faire l’objet d’un devis de la part du Sous-traitant.

À défaut d’information par le Client de son choix, le Sous-traitant supprimera directement les données du Client ainsi que toutes les copies (option 2) à la fin de la relation commerciale.

La suppression des données est irréversible. Le Client est donc invité à récupérer ses données avant l'arrêt du service. En cas de suppression des données du Client par le Sous-traitant, le Client demeure le seul responsable de la disparition des données et de toutes conséquences pouvant intervenir.

Le Sous-traitant atteste au Client, sur demande écrite, de la suppression effective des données à caractère personnel et de toutes les copies existantes.

11. Audits

Le Client dispose du droit de réaliser un audit sous forme de questionnaire écrit une fois par an pour vérifier le respect du présent Accord. Le questionnaire a la force d’un engagement sur l’honneur qui engage le Sous-traitant.

Le questionnaire peut être communiqué sous n’importe quelle forme au Sous-traitant qui s’engage à y répondre dans un délai maximum de deux mois à compter de sa réception.

Le Client dispose également du droit de réaliser un audit sur site, à ses frais, une fois par an uniquement en cas de violation de données ou de manquement aux règles applicables en matière de protection des données et au présent APD, notamment établi par le questionnaire écrit.

Un audit sur site peut être mené soit par le Client soit par un tiers indépendant désigné par le Client et doit être notifié par écrit au Sous-traitant au minimum trente (30) jours avant la réalisation de l’audit.

Le Sous-traitant dispose du droit de refuser le choix du tiers indépendant si ce dernier est i) un concurrent ou ii) en précontentieux ou contentieux avec lui. Dans ce cas, le Client s’engage à choisir un nouveau tiers indépendant pour réaliser l’audit.

Le Sous-traitant peut refuser l’accès à certaines zones pour des raisons de confidentialité ou de sécurité. Dans ce cas, le Sous-traitant effectue l’audit dans ces zones à ses frais et communique les résultats au Client.

En cas d’écart constaté dans le cadre de l’audit, le Sous-traitant s’engage à mettre en œuvre, sans délai, les mesures nécessaires pour être en conformité avec le présent Accord.

12. Transfert de données hors de l'Union européenne

Le Sous-traitant s’engage à faire son nécessaire pour ne pas transférer de données à caractère personnel du Client en dehors de l'Union européenne ou ne pas recruter de Sous-traitant ultérieur situé en dehors de l’Union européenne.

Néanmoins, dans le cas où de tels transferts s’avéreraient nécessaires dans le cadre du Contrat, le Sous-traitant s'engage à mettre en oeuvre tous les mécanismes requis pour encadrer ces transferts comme, en particulier, conclure des clauses types de protection des données ("CCT") adoptées par la Commission européenne.

13. Coopération avec l'autorité de contrôle

Lorsque cela concerne les traitements mis en œuvre dans le cadre du Contrat, le Sous-traitant s’engage à fournir, sur demande, l’intégralité des informations nécessaires au Client pour qu’il puisse coopérer avec l'autorité de contrôle compétente.

14. Contact

Le Client et le Sous-traitant désignent chacun un interlocuteur qui est en charge du présent APD et qui est le destinataire des différentes notifications et communications devant intervenir dans le cadre de l’ADP.

Le Sous-traitant informe le Client qu'il a nommé la société Dipeeo comme Délégué à la protection des données qui peut être contactée aux coordonnées suivantes :

  • Adresse email : dpo@mantra.ms
  • Adresse postale : Dipeeo SAS, 95 avenue du Président Wilson, 93100 Montreuil, France
  • Numéro de téléphone : +00 33 (0)9 86 23 21 29

15. Révision

Le Sous-traitant se réserve la possibilité de modifier le présent Accord en cas d’évolution des règles applicables en matière de protection des données qui auraient pour effet de modifier l’une de ses dispositions.

16. Loi applicable

Le présent Accord est soumis au droit français. Tout litige relatif à l’exécution du présent Accord est de la compétence exclusive des tribunaux du ressort de la Cour d’appel du lieu de domiciliation du Sous-traitant.

Conformité certifiée par Dipeeo