La société Mantra SAS, société au capital de 27.111,11 €, inscrite au Registre du Commerce et des Sociétés de Nanterre, sous le numéro 892 440 959, dont le siège social se trouve au 65, rue de la Croix, 92000 Nanterre, représentée par son président en exercice ("MANTRA" ou le "Sous-Traitant") d'une part et le client "Responsable de Traitement" ou "Client" d'autre part conviennent de cet Accord sur le Transfert des Données ("Accord") à la Date d'Execution du Contrat qui les lie. <br>
MANTRA et le client sont désignés individuellement comme une "Partie" et collectivement comme les "Parties" au présent accord.
Préambule :
MANTRA est l’éditeur d’une plateforme de simulation d’emails de phishing permettant au Client de sensibiliser et former ses employés au risque cyber associé à ce type d’attaques (la “Plateforme”).
Le présent Accord a pour objet de définir les conditions dans lesquelles MANTRA s’engage à effectuer pour le compte du Client les opérations de traitement des Données Personnelles de ses employés dans le cadre de la fourniture des Services.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après « RGPD »).
Le présent accord s'applique en complément et sans préjudice des conditions générales (CGAU) et spécifiques applicables que les parties peuvent avoir conclues.
MANTRA développe sa plate-forme conformément au principe du respect de la vie privée dès la conception et par défaut.
- Définitions :
Chaque terme commençant par une majuscule a la signification indiquée dans sa définition, qu'il soit au singulier ou au pluriel.
Accord :désigne le présent Accord.
Contrat :désigne le contrat passé entre MANTRA et le Client relatif à la fourniture des Services.
Données Personnelles : a le sens donné dans le RGPD.
Employés : désigne les employés du Client.
Traitements :désigne les traitements, au sens du RGPD, effectués dans le cadre de l’utilisation de la Plateforme par le Client.
Plateforme : désigne la plateforme de simulation d’emails de phishing dédiée à la sensibilisation et à la formation au risque cyber associé à ce type d’attaques.
Services : désigne les services accessibles depuis la Plateforme.
A moins qu’il en soit précisé autrement, les termes commençant par une majuscule ont le sens qui leur est donné par le RGPD.
- Description des Traitements
L’utilisation de la Plateforme nécessite le traitement de Données Personnelles concernant les Employés du Client, pour lequel le Client est le Responsable de traitement et MANTRA est le Sous-traitant.
En application de l’article 28.3 du RGPD, les traitements des Données Personnelles effectués dans le cadre de l’utilisation de la Plateforme par MANTRA pour le compte du Client sont décrits ci-après.
Envoi de simulation de phishing
Position au sein du client
Liste des employés (nom, prénoms, service, lieu, fuseau horaire, logiciels utilisés, langue)
Durée du contrat ou 3 ans glissant
Employés des clients et prospects
Mesure de la performance des employés à la simulation de phishing
Nom, prénom, fonction email, nombre de cliques, heure d’ouverture de l'e-mail, heure de signalement du mail, pourcentage d'actions sensibles (ouverture d'un document, téléchargement, saisie d'identifiants)
Durée du contrat ou 3 ans glissant
Identification d'e-mails malveillants
Adresse e-mail de l'expéditeur, objet de l'e-mail, contenu de l'e-mail, signalement du salarié (date et heure).
Durée du contrat ou 3 ans glissant
Formation des salariés (chatbot)
Informations de la société cliente
Liste des employés.
Durée du contrat ou 3 ans glissant
Suivi de la formation des salariés (chatbot)
Liste des employés (nom, prénoms, service), cours suivis et progression
Durée du contrat ou 3 ans glissant
Métadonnées des e-mails / en-tête des e-mails (cordonnées des expéditeurs, des destinataires, domaine de l'adresse e-mail, adresses IP, date et heure des échanges, Pays, poste de travail, nature de la messagerie utilisée, localisation de la boite d’envoi, du SI utilisé )
Durée du contrat ou 3 ans glissant
Toute personne dont les données sont traitées à travers les emails.
Ajout d'une adresse e-mail de confiance
(Analyse d'e-mails)
Adresse e-mail de l'expéditeur, adresse e-mail du destinataire
Durée du contrat ou 3 ans glissant
Toute personne dont les données sont traitées à travers les emails.
Analyse de l'utilisation des mots de passe
Identification de l'utilisateur (Nom prénom e-mail)
Date et heure de l'entrée du mot de passe sur un site suspect, Site suspect
Durée du contrat ou 3 ans glissant
Analyse des fichiers téléchargés par les utilisateurs
Site d'origine du fichier, Type de fichier
Durée du contrat ou 3 ans glissant
Analyse des extensions du navigateur
Durée du contrat ou 3 ans glissant
- Obligations du Client
Le Client s’engage à respecter ses obligations au titre de la règlementation applicable (en particulier concernant la protection des Données Personnelles), à l’égard de ses Employés.
Le Client s’engage à assurer la confidentialité des identifiants permettant d’accéder aux Services et à prendre les mesures techniques et organisationnelles de sécurité appropriées permettant l’utilisation des Services sur les matériels, logiciels et éléments relevant de sa responsabilité.
En toute circonstance, il s’engage à transmettre à MANTRA que des instructions en conformité avec la réglementation et les dispositions légales applicables.
- Obligations de MANTRA
4.1 MANTRA a la qualité de Sous-traitant pour les traitements indiqués à l’article 2 « Description des Traitements ».
MANTRA traite les données uniquement pour les finalités décrites à l’article 2.
4.2 A ce titre, MANTRA ne traite les Données Personnelles que sur instruction documentée du Client, pour les finalités prévues dans le présent Accord. Le présent Accord, le Contrat et les instructions écrites du Client dans le cadre de l’utilisation des Services constituent les instructions du Client.
MANTRA fera ses meilleurs efforts pour informer, dans la mesure du possible, le Client si elle a connaissance d’une instruction qui, selon elle, constitue une violation des dispositions applicables.
4.3 Si MANTRA est tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union européenne ou du droit français, MANTRA en informera le Client, sauf interdiction pour des motifs importants d'intérêt public.
En cas de transfert de Données autorisé par le Client vers un tiers, MANTRA mettra en œuvre le transfert dans le respect des dispositions du RGPD, soit :
a) Le traitement est réalisé au sein d’un Pays tiers bénéficiant d’une Décision d’adéquation ;
b) Le traitement est encadré par des clauses contractuelles types émises par la Commission européenne. Dans cette hypothèse, les Parties intègrent au contrat lesdites clauses type qu’elles s’engagent à ratifier préalablement à la mise en œuvre du ou des traitements concernés ;
c) Le traitement est encadré par des Règles d’entreprise contraignantes.
Si la ou les exception(s) utilisée(s) pour le transfert devenai(en)t caduque(s), les Parties conviennent de se rencontrer sans délai pour encadrer le transfert envisagé.
Les clauses contractuelles types utilisées par Mantra, y compris ses exigences en termes de mesures techniques et organisationnelles mises en œuvre par l'importateur de données, figurent dans une annexe disponible sur demande.
4.4 MANTRA s’engage à garantir la confidentialité des données à caractère personnel traitées dans le cadre du Contrat.
4.5 MANTRA veille à ce que les personnes autorisées à traiter les Données Personnelles du Client s'engagent à respecter la confidentialité de ces Données Personnelles et soient tenues par des obligations de confidentialité et sa politique interne de protection des données.
4.6 MANTRA peut faire appel à d’autres sous-traitants (ci-après, « les sous-traitants ultérieurs ») pour mener des activités de traitement spécifiques. Sur demande du Client, MANTRA communiquera les Traitements sous-traités, l’identité et les coordonnées des sous-traitants et les dates des contrats de sous-traitance. Le Client dispose d’un délai de 15 jours à compter de la date de réception de cette information pour présenter ses objections. En cas de désaccord sur l’identité d’un sous-traitant ultérieur, les Parties s’efforceront de trouver un sous-traitant alternatif.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent Accord.
Il appartient à MANTRA de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données et du présent Accord. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, MANTRA devra cesser de lui confier tout Traitement réalisé pour le compte du Client.
Le Client a d’ores et déjà autorisé Mantra à sous-traiter tout ou partie des traitements aux sous-traitants ultérieurs listés dans une annexe disponible à la demande.
En toute hypothèse, MANTRA demeure pleinement responsable devant le Client de l’exécution par le sous-traitant ultérieur de ses obligations.
4.7 Il appartient au Client de s’assurer que ses Employés ont reçu l’information préalable nécessaire à la mise en œuvre des Traitements, au sens des articles 13 et 14 du RGPD. Le cas échéant, cette information pourra être délivrée lors de la connexion à la Plateforme.
4.8 MANTRA s’engage à collaborer avec le Client pour répondre à toute demande d’un Employé dont les Données Personnelles sont utilisées dans le cadre des Services.
MANTRA s'engage à aider le Client dans l'exécution de ses obligations légales en lien avec l’exercice par les Personnes concernées de leurs droits, y compris :
- Le droit d’accès ;
- Le droit de rectification ou de suppression ;
- Le droit à la portabilité des Données ;
- Le droit à la limitation du Traitement ; et
- Le droit d'opposition.
MANTRA transmettra au Client sans délai toute demande d’exercice d’un droit émise par un Employé.
4.9 Le Client se réserve le droit de procéder, à ses frais, à une analyse d’impacts relative à la protection des Données pour l’un des Traitements. MANTRA apportera toute son assistance à la réalisation de l’analyse d’impact.
4.10 MANTRA notifie au Client toute violation de données à caractère personnel sous un délai maximum de 48 heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
MANTRA notifie au Client toute requête de transmission ou d’accès aux Données Personnelles émanant d’une autorité judiciaire ou administrative, dès que possible avant d’y répondre, à moins qu’une disposition légale ou réglementaire l’interdise.
4.11 MANTRA fait ses meilleurs efforts pour prendre toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au traitement des Données Personnelles. Les mesures techniques et organisationnelles en vigueur sont détaillées dans une annexe disponible à la demande, et sont appliquées à tout Traitement.
4.12 A l’échéance du Contrat, MANTRA supprimera, ou restituera dans les trente (30) jours sur demande du Client, les Données Personnelles des Employés traitées dans le cadre de l’exécution du Contrat et toujours en sa possession.
Sur demande du client, MANTRA fournit un procès-verbal de destruction des Données.
4.13 MANTRA déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client. MANTRA met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations.
Le Client peut procéder, à ses frais, à toute vérification qui lui paraîtrait utile pour constater le respect par MANTRA de ses obligations au titre des présentes, notamment au moyen d’audits ou d’inspections. Ces vérifications pourront être réalisées par le Client lui-même ou par un tiers, une fois par an et sous réserve que : a) MANTRA soit notifié au plus tard quinze (15) jours à l’avance de la date de réalisation de l’audit et que (b) le tiers qu’il aura mandaté à cette fin ne soit pas un concurrent de MANTRA.
MANTRA mettra à la disposition du Client ou dudit tiers les informations nécessaires pour apporter la preuve du respect des obligations prévues au sein du présent Contrat, et s’engage à contribuer auxdites vérifications.
Lorsque l’audit a nécessité l’immobilisation d’une ou plusieurs ressources de la part de MANTRA pour un délai supérieur à quarante-huit (48) heures, MANTRA se réserve le droit de facturer au client le coût des ressources immobilisées.
Lorsque l’audit conclut à un manquement de MANTRA, celle-ci s’engage à mettre ses moyens techniques, organisationnels et/ ou méthodologiques en conformité avec la règlementation sous un délai de deux (2) mois.
- Durée et résiliation
Le présent Accord sur les Données est conclu pour la durée de la relation contractuelle telle que visée dans le contrat de prestation de services conclu entre les Parties, ou dans les conditions générales (CGAU) validées par le Client.
En cas de manquement par l’une des Parties, non réparé dans un délai de (trente) 30 jours suivant mise en demeure adressée à cet effet par lettre recommandée avec accusé de réception, l'autre Partie pourra résilier les présentes, de plein droit et sans formalités judiciaires, sans préjudice des éventuels dommages et intérêts dus.
- Coordonnées du D.P.O.
Les coordonnées du D.P.O. (Data Privacy Officer) de Mantra sont les suivantes :
- Divers
La nullité de l'une des clauses ou de l'un des articles des présentes sera sans influence sur la validité des autres clauses et articles. En cas de nullité d’une des clauses, les Parties s’efforceront de la remplacer par une clause valable, équilibrée et ayant le même objet.
Toute convention dérogatoire ou complémentaire aux présentes devra être constatée par écrit.
Les intitulés des articles des présentes ne figurent que pour plus de commodité et n'affectent en aucune manière le sens des dispositions auxquelles ils font référence.
Aucun fait de tolérance par les Parties, même répété, ne saurait constituer une renonciation de celles-ci à l'une quelconque des dispositions des présentes.
Le présent Avenant est soumis au droit français.
Toute difficulté se rapportant à la validité, l’interprétation ou l’exécution des présentes, et après tentative de résolution amiable restée infructueuse sous trente (30) jours de la notification du différend par lettre recommandée avec accusé de réception, sera de la compétence exclusive des juridictions désignées dans le contrat de prestation de services conclu entre les Parties ou dans les conditions générales (CGAU) validées par le Client.