Accord de traitement des données (DPA)

Mis à jour le 29.01.2019

1. Introduction

Le présent contrat de traitement de données à caractère personnel (ci-après dénommé l’« annexe ») est un élément indissociable du contrat passé entre Open Badge Factory Oy (ci-après dénommé le « prestataire de services ») et son client (ci-après dénommé le « client ») concernant les services Open Badge Factory (ci-après dénommé le « contrat »).

L’objet de la présente annexe est de convenir des règles de confidentialité et de protection des données à caractère personnel du client dans le cadre des services fournis par le prestataire de services. La présente annexe constitue un contrat écrit conforme au règlement général sur la protection des données de l’UE (679/2016) concernant le traitement des données à caractère personnel.

En cas de contradiction entre les dispositions relatives au traitement des données à caractère personnel de l’annexe et celles du contrat, les parties appliquent en priorité les conditions de la présente annexe.

2. Définitions

Conformément au règlement général sur la protection des données de l’UE, les termes ci-dessous sont définis comme suit:

Le « responsable du traitement » désigne le client, qui définit les finalités et les moyens du traitement des données à caractère personnel.

Le « sous-traitant » désigne le prestataire de services, qui traite des données à caractère personnel pour le compte du responsable du traitement en application du contrat.

« Traitement » désigne toute opération ou tout ensemble d’opérations effectuées à l’aide de procédés automatisés ou manuels et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte de données, leur enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, transmission, diffusion ou toute autre forme de mise à disposition, leur rapprochement ou interconnexion, limitation, effacement ou destruction.

« Données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« Violation de données à caractère personnel » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

3. Protection des données et traitement des données à caractère personnel

3.1 Obligations du prestataire de services et du client

Le prestataire de services traite les données à caractère personnel du client pour le compte et sur commande du client, en application du contrat. Les données à caractère personnel que traite le prestataire de services peuvent se rapporter, par exemple, aux employés ou aux clients. Le client est le responsable du traitement et le prestataire de services est le sous-traitant des données traitées dans le cadre du service. Les parties s’engagent à respecter les lois, règlements et instructions et directives des autorités en vigueur en matière de traitement de données à caractère personnel et, si nécessaire, à modifier les dispositions de la présente annexe afin de s’y conformer.

En tant que responsable du traitement, le client a la responsabilité de disposer des droits et consentements nécessaires pour traiter des données à caractère personnel conformément au contrat. Il incombe au client d’établir un registre et de le tenir à disposition, ainsi que d’informer les personnes concernées et de procéder aux notifications aux autorités de protection des données. Le client est responsable de la validité des données à caractère personnel qu’il a fournies au prestataire de services.

Le client a le droit et est tenu de définir la finalité et les méthodes du traitement de données à caractère personnel. L’objet, la nature et la finalité du traitement sont définis plus en détail dans le contrat. Les types de données à caractère personnel et les groupes de personnes concernées traités dans le cadre des services ont été définis dans le contrat.

Le prestataire de services a le droit de traiter les données à caractère personnel et les autres données du client uniquement en application du contrat, de la présente annexe et dans le respect des directives écrites du client et uniquement dans la mesure et de la manière nécessaires pour fournir les services. Le prestataire de services informe le client dès lors qu’est constatée une contradiction entre lesdites directives et la législation sur la protection des données de l’UE ou de la Finlande et, dans ce cas, le prestataire de services peut refuser et cesser immédiatement la mise en œuvre des directives du client.

Le prestataire de services consigne la description du service ou tient tout autre registre pour les opérations de traitement requis par le règlement général sur la protection des données de l’UE. Le prestataire de services a le droit de collecter des données anonymes et statistiques de l’utilisation des services prévus au contrat, qui ne précisent pas le client ni les personnes concernées, et de les utiliser pour analyser et mettre au point ses services.

3.2 Suppression/renvoi des données

À l’expiration du contrat, le prestataire de services renvoie ou supprime, conformément aux directives du client, toutes les données à caractère personnel du client et en supprime toutes les copies, à moins que la législation applicable n’impose la conservation de données à caractère personnel.

3.3 Sous-traitants

Le prestataire de services peut faire appel à des sous-traitants pour traiter les données à caractère personnel du client. Le prestataire de services est responsable des actes de ses sous-traitants comme de ses propres actes et établit des contrats écrits avec les sous-traitants concernant le traitement des données à caractère personnel. Sur demande, le prestataire de services informe le client au préalable des sous-traitants auxquels il entend avoir recours pour le traitement des données à caractère personnel prévu au contrat. Le client a le droit de s’opposer au recours à un nouveau sous-traitant pour des motifs légitimes. Si les parties ne parviennent pas à un accord concernant le recours à un nouveau sous-traitant, le client a le droit de résilier le contrat avec un préavis de trente (30) jours dès lors que le changement de sous-traitant a des effets sur le traitement des données à caractère personnel prévu au contrat.

3.4 Obligation d’assistance du prestataire de services

Le prestataire de services transmet sans délai au client toutes les demandes de consultation, rectification, effacement de données ou d’opposition au traitement des données ou les autres demandes reçues de personnes concernées. Le client est tenu de veiller à ce que de telles demandes reçoivent une réponse. En tenant compte de la nature du traitement, le prestataire de services assiste le client par des mesures techniques et organisationnelles appropriées afin de l’aider à satisfaire à son devoir de réponse aux demandes des personnes concernées.

Le prestataire de services est tenu, en tenant compte de la nature du traitement des données à caractère personnel et des données disponibles, d’aider le client à s’assurer qu’il respecte ses obligations légales. Ces obligations peuvent comprendre les obligations relatives à la sécurité des données, à la notification des violations de données, aux évaluations des effets liés à la protection des données et les obligations relatives aux consultations préalables. Le prestataire de services n’est tenu d’assister le client que dans la mesure des obligations imposées au sous-traitant des données à caractère personnel par la législation applicable. Sauf convention contraire, le prestataire de services a le droit de facturer les frais exposés en raison des activités prévues au présent article 3.4 à son tarif en vigueur.

Le prestataire de services transmet directement au client toutes les demandes des autorités de protection des données et il n’est pas autorisé à représenter le client, ni à agir pour le compte du client auprès des autorités de protection des données qui contrôlent le client.

4. Traitement en dehors de l’UE/EEE

Le prestataire de services et ses sous-traitants ne sauraient traiter des données à caractère personnel en dehors du territoire de l’UE/EEE sans l’approbation écrite du client.

Les parties conviennent par écrit de tout transfert ou traitement de données à caractère personnel en dehors de l’UE/EEE et veillent à ce que les clauses contractuelles types approuvées par l’Union européenne en matière de transfert de données en dehors de l’UE/EEE s’appliquent.

5. Audits

Le client ou un auditeur autorisé par le client (sauf, toutefois, un concurrent du prestataire de services) ont le droit de contrôler les activités prévues à l’annexe. Les parties conviennent des date et heure de l’audit et des autres détails au préalable et au plus tard 14 jours avant l’audit. L’audit est conduit d’une manière n’entravant pas les obligations du prestataire de services ou de ses sous-traitants à l’égard des tiers. Les représentants du client et l’auditeur doivent signer des engagements conventionnels de confidentialité.

Le client supporte ses propres frais, ainsi que les frais du prestataire de services occasionnés par l’audit. Si des défaillances substantielles sont constatées lors de l’audit, le prestataire de services supporte les frais encourus pour l’audit.

6. Sécurité des données

Le prestataire de services met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel du client, en prenant en compte tous les risques liés au traitement, en particulier les risques accidentels ou illicites de destruction, perte, altération, divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou d’accès non autorisé à de telles données. Les options techniques et leurs coûts sont pris en compte dans l’organisation des mesures de sécurité, en fonction des risques spéciaux du traitement concerné et de la sensibilité des données à caractère personnel traitées.

Le client est tenu de veiller à ce que le prestataire de services soit avisé de toutes les circonstances concernant les données à caractère personnel que le client a fournies, telles que les évaluations des risques et la communication de groupes spéciaux de personnes concernées ayant des effets sur les mesures techniques et organisationnelles prévues à la présente annexe. Le prestataire de services veille à ce que le personnel du prestataire de services ou d’un sous-traitant du prestataire de services respecte un engagement de confidentialité approprié.

7. Notification des violations de données

Le prestataire de services doit notifier au client toutes les violations de données concernant des données à caractère personnel dans les meilleurs délais après avoir été informé d’une violation ou après qu’un sous-traitant du prestataire de services en a été informé.

Sur demande du client, le prestataire de services lui fournit, dans les meilleurs délais, toute information utile concernant la violation de données. Dès lors qu’il dispose des informations concernées, le prestataire de services fournit au client au moins:

(a) la description de la violation de données,
(b) si possible, les groupes de personnes concernées et leur nombre, ainsi que les ensembles de types de données à caractère personnel et leurs nombres estimés,
(c) une description des conséquences probables de la violation de données,
(d) une description des mesures de correction que le prestataire de services a mis en œuvre ou entend mettre en œuvre pour prévenir des violations ultérieures de données et, si nécessaire, les mesures pour minimiser les effets nocifs de la violation de données.

Le prestataire de services consigne et communique au client les résultats de l’enquête et les mesures mises en œuvre.

Le client est responsable des notifications nécessaires aux autorités de protection des données.

8. Autres dispositions

Si un dommage matériel ou immatériel quelconque est occasionné à une personne en raison d’une infraction au règlement général sur la protection des données de l’UE ou à l’annexe, le prestataire de services n’est responsable du dommage que dans la mesure où il n’a pas expressément respecté les obligations imposées aux sous-traitants de données à caractère personnel par le règlement général sur la protection des données de l’UE ou la présente annexe.

Les deux parties ne sont tenues de supporter que la part des dommages ou amendes administratives qui correspond à la responsabilité pour les dommages constatée dans la décision finale d’une autorité de protection des données ou d’un tribunal. À défaut, la responsabilité des parties est déterminée conformément au contrat.

Le prestataire de services notifie au client par écrit tous les changements susceptibles d’affecter sa capacité ou ses chances de respecter la présente annexe et les directives écrites du client. Les parties conviennent par écrit de tous les ajouts et modifications de la présente annexe.

La présente annexe entre en vigueur dès la souscription du contrat par le client. L’annexe reste en vigueur (i) aussi longtemps que le contrat est en vigueur ou (ii) aussi longtemps que les parties ont l’une envers l’autre des obligations relatives à des activités de traitement de données à caractère personnel.

Les obligations supposées de par leur nature survivre à l’expiration de la présente annexe demeurent en vigueur après son expiration.


FERMER