La proposition pour les besoins de cet article, les termes suivants auront la définition ci-dessous mentionnée :
Le « Bénéficiaire » désigne le responsable du traitement, au sens de la règlementation applicable, des données personnelles de ses salariés qu’il fournit au Prestataire dans le cadre des prestations de services attendues du Prestataire, objet du Contrat.
Le « Prestataire » désigne le sous-traitant, au sens de la Réglementation applicable, qui agit pour le compte du Bénéficiaire et qui traite pour son compte les données personnelles nécessaires à l’exécution des prestations de services, objet du Contrat.
Les « Données Personnelles » désignent les données à caractère personnel transférées par le Bénéficiaire au Prestataire ou auxquelles ce dernier aura accès dans le cadre du Contrat et dont la liste figure à l’annexe 1 ;
La « Réglementation applicable » désigne la législation et la réglementation en vigueur en matière de protection des données personnelles et plus particulièrement le règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la loi Informatique et Libertés ;
Le « Règlement européen sur la protection des données » désigne le règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données) ;
Le(s) « Traitement(s) » désigne toute opération ou ensemble d’opérations effectuées par le Prestataire dans le cadre du Contrat et portant sur les Données Personnelles transférées par le Bénéficiaire au Prestataire ou auxquelles ce dernier aura accès dans le cadre du Contrat
La « Violation de données » désigne toute violation des Données Personnelles lorsque cette violation entraîne de manière accidentelle ou illicite, l’accès ou la divulgation non autorisée, la perte ou la destruction de données à caractère personnel transmises par le Bénéficiaire au sens de la Réglementation applicable.
Le Design Sprint est aujourd’hui la méthode la plus efficiente pour tester et valider un produit ou service..
Le présent article a pour objet de définir les conditions dans lesquelles le Prestataire s’engage à effectuer pour le compte du Bénéficiaire les Traitements définis ci-après et prévus par le Contrat.
Dans le cadre de leurs relations au titre du Contrat, les Parties s’engagent à respecter la Réglementation applicable.
A ce titre, le Prestataire s’engage à présenter au Bénéficiaire des garanties appropriées quant à la mise en œuvre de mesures techniques et organisationnelles de manière à ce que le Traitement par le Prestataire, dans le cadre du Contrat, réponde aux prescriptions de la Réglementation applicable et garantisse le droit des personnes concernées.
Le Prestataire est autorisé à traiter pour le compte du Bénéficiaire les Données Personnelles dans le cadre du Contrat.
Le Bénéficiaire détermine sous sa responsabilité les finalités des Traitements confiés au Prestataire et les catégories de Données Personnelles que le Prestataire sera amené à traiter.
Toutes les Données Personnelles demeurent la propriété exclusive du Bénéficiaire
Le Bénéficiaire demeure libre de les utiliser sous tous types de format ou de support, dans les conditions légales applicables. Le Prestataire agira uniquement pour le compte et sur instructions du Bénéficiaire, conformément aux stipulations du Contrat.
Le Prestataire s’engage à effacer toute Donnée Personnelle à première demande du Bénéficiaire, si la demande effectuée par la personne concernée est justifiée par les motifs énumérés à l’article 17 du Règlement Européen sur la Protection des Données.
Le Prestataire s’engage à communiquer au Bénéficiaire le nom et les coordonnées de son délégué à la protection des données.
Le Bénéficiaire garantit au Prestataire que :
Le Bénéficiaire collecte et traite les Données Personnelles des personnes concernées de manière licite, loyale et transparente pour des finalités déterminées, explicites et légitimes que le Bénéficiaire détermine seul.
Le Bénéficiaire a informé au préalable les personnes concernées dont il traite les Données Personnelles de l’ensemble de ses obligations à leur égard et notamment au regard des finalités du traitement ;
Le Bénéficiaire a informé les personnes concernées de leurs droits conformément à la règlementation en vigueur ;
Le Prestataire garantit au Bénéficiaire :
Le Prestataire traite les Données Personnelles du Bénéficiaire pour le seul compte du Bénéficiaire et au titre des seules conditions visées au Contrat ;
Le Prestataire transmet, le cas échéant, au Bénéficiaire les demandes d’accès, de rectification ou de suppression émanant des personnes concernées, lorsque leurs Données Personnelles sont traitées dans le cadre du Contrat;
Le Prestataire s’engage à procéder, au plus tard à l’issue du délai de conservation prévu à l’article 5 à la destruction des Données Personnelles ;
Le Prestataire met en œuvre les mesures techniques et organisationnelles appropriées destinées à protéger les droits des personnes concernées ;
Le Prestataire assure la confidentialité des Données Personnelles du Bénéficiaire, à travers les dispositifs internes appropriés. Le Prestataire s’engage à ce que les personnes autorisées à traiter les Données Personnelles respectent la confidentialité des Données Personnelles et reçoivent une formation appropriée ;
Le Prestataire s’engage à rendre compte et à faire la preuve écrite de l’ensemble des dispositifs et procédures de protection des Données Personnelles, notamment en matière de registre des traitements et de registre des violations de données.
Le Prestataire informe immédiatement le Bénéficiaire qu’en cas d’instruction de sa part susceptible d’entrainer un non-respect de la Réglementation applicable, il se réserve le droit de refuser les instructions du Bénéficiaire. Dans ce cas, un refus écrit et documenté du Prestataire n’autorisera pas le Bénéficiaire à résilier le Contrat.
De même, si le Bénéficiaire demande l’effacement ou la modification d’une ou plusieurs catégories de Données personnelles ou de Données Personnelles qui est susceptible d’empêcher l’exécution des prestations prévues au Contrat, le Prestataire en informe immédiatement le Bénéficiaire.e Prestataire garantit au Bénéficiaire :
Le Prestataire met en œuvre l’ensemble des mesures de sécurité appropriées visées par la Réglementation applicable pour assurer la sécurité des Données Personnelles, en tenant compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du ou des Traitements ainsi que des risques dont le degré de probabilité et de gravité varie, pour assurer les droits et libertés des personnes concernées.
Le Prestataire met en place des contrôles et audits internes réguliers destinés à vérifier la permanence des dispositifs et procédures de protection internes des Données Personnelles.
Le Bénéficiaire pourra procéder à la réalisation d’audits chez le Prestataire dans le cadre de l’exécution du Contrat. Le Bénéficiaire en informera le Prestataire par écrit avec un préavis minimum de 15 jours ouvrés en lui communiquant l’objet de la mission, sa durée envisagée et le nom des auditeurs. Un devis sera établi préalablement à la réalisation de cet audit qui sera facturé au Bénéficiaire.
En cas de Violation de Données, le Prestataire prend toute mesure de correction appropriée pour faire cesser la violation identifiée, protéger les Données Personnelles visées et s’engage à en informer le Bénéficiaire dans les meilleurs délais après en avoir pris connaissance.
Le Prestataire fournira par écrit au Bénéficiaire sous 24 heures et en tous cas dans les meilleurs délais après avoir pris connaissance de la Violation des Données, l’ensemble des éléments suivants :
La nature de la Violation de Données, y compris si possible, les catégories et le nombre approximatif de personnes concernées par la violation ;
Le nom et les coordonnées du Délégué à la Protection des Données ou de tout autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
Les conséquences probables de la Violation de Données ;
Les mesures prises ou les mesures proposées par le Prestataire pour remédier à la Violation de Données.
Toutefois, et dans la mesure où, il ne serait pas possible de fournir toutes les informations en même temps, les informations pourront être communiquées de manière échelonnée.
Le Prestataire s’engage à documenter par écrit toute Violation des Données en indiquant les faits concernant la violation identifiée, ses effets et les mesures prises pour y remédier. Cette documentation sera tenue à disposition du Bénéficiaire et de l’autorité de contrôle compétente.
Le Prestataire ne peut faire appel à des sous-traitants pour réaliser des activités de Traitements spécifiques des Données Personnelles visées au présent Contrat sauf accord écrit et préalable du Bénéficiaire.
Le Prestataire s’engage en tout état de cause à ne pas sous-traiter ses propres prestations à un sous-traitant qui ne respecterait pas les dispositions législatives et règlementaires en vigueur.
Le Bénéficiaire pourra procéder à la réalisation d’audits chez le Prestataire dans le cadre de l’exécution du Contrat. Le Bénéficiaire en informera le Prestataire par écrit avec un préavis minimum de 15 jours ouvrés en lui communiquant l’objet de la mission, sa durée envisagée et le nom des auditeurs. Un devis sera établi préalablement à la réalisation de cet audit qui sera facturé au Bénéficiaire.
Le Prestataire s’engage à stocker et traiter les Données Personnelles sur des serveurs exclusivement situés sur le territoire de l’Union européenne. Ces données ne peuvent faire l’objet d’un transfert hors de l’Union européenne que dans un cadré sécurisé, c’est-à-dire vers un pays présentant un niveau de protection adéquat au sens de la réglementation en vigueur ou vers des entités juridiques ayant signées des clauses contractuelles types.