1. Objet

L’objet du présent Accord est de préciser les obligations s’imposant au Prestataire en matière de données personnelles et de définir les exigences minimales que le Prestataire, en sa qualité de sous-traitant, doit respecter dans le cadre de la fourniture de ses Prestations au Client.

2. Définitions

« Données à caractère personnel » ou « Données personnelles » : Désigne toute information (toute suite de caractères, signes, chiffres ou lettres) se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « Personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« Responsable du Traitement » : Désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement. Au titre du présent Accord, il s’agit du Client.
« Sous-traitant » : Désigne tout organisme tiers aux Parties (le Client et le Prestataire) ayant une relation contractuelle avec le Prestataire pour la fourniture d’équipements, de logiciels ou de services en lien avec les prestations objet des présentes et qui dans ce cadre peut traiter des Données à
caractère personnel fournies par le Client.
« Traitement » : Désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données personnelles ou des ensembles de Données à personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
« UE » : Désigne l’Union Européenne.
« Pays tiers » : Désigne un pays n’appartenant pas à l’Union Européenne.
« Transfert hors UE » : Désigne la transmission de Données à caractère personnel, depuis un pays membre de l’UE, vers un Pays tiers ou l'accès à des Données à caractère personnel, situées au sein d’un pays membre de l’UE, depuis un Pays tiers (ex : accès à distance à une base de données par
des acteurs situées dans un pays hors UE).
« Décision d’adéquation » : Désigne une décision adoptée par la Commission européenne qui établit qu'un Pays tiers assure un niveau de protection adéquat des Données à caractère personnel, en raison de sa législation interne ou des engagements internationaux qu'il a souscrits.
« Violation de Données à caractère personnel » ou « Violation » : Désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données.

3. Généralités

3.1. Les Parties s’engagent à respecter la réglementation française et européenne relative à la protection des Données personnelles, en particulier la loi Informatique et Libertés du 6 janvier 1978 et le règlement UE 2016/679 relatif au traitement des données à caractère personnel des personnes
physiques à partir de son entrée en vigueur le 25 mai 2018 (ensemble, la « Réglementation »).
3.2. En cas de contradiction entre le présent Accord et tout autre élément du Contrat, l’Accord prévaut.

4. Nature des données et finalité des traitements

Les Traitements de Données personnelles confiés au Prestataire sont, à la date de signature du Contrat, ceux visés en Annexe A.
Les Traitements de Données personnelles réalisés par le Prestataire sont exclusivement ceux nécessaires pour la réalisation des prestations prévues au Contrat, toute autre utilisation étant interdite sans l’accord express et préalable du Client.

5. Obligations générales du client

Le Responsable de Traitement doit s’assurer du respect des obligations issues de la Réglementation et notamment :
● Informer les personnes concernées sur les conditions d’utilisation de leurs Données Personnelles,
● Prévoir un droit d’opposition, d’accès, de rectification et de suppression des personnes concernées sur les Données Personnelles,
● Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le Règlement de la part du Prestataire,
● Superviser le traitement, y compris réaliser les audits et les inspections auprès du Prestataire.

6. Obligations générales du prestataire

6.1. Le Prestataire est Sous-traitant au sens de la Réglementation et reconnaît que le Traitement des Données personnelles doit être effectué dans le respect de cette Réglementation et relève de la plus stricte confidentialité.
6.2. Le Prestataire s’engage à prendre toutes les mesures nécessaires au respect de ses obligations et notamment :
● Ne pas traiter les Données personnelles à d’autres fins que l’exécution du présent Contrat ;
● Ne traiter les Données personnelles que dans le cadre des instructions documentées du Client ;
● Prendre toutes précautions utiles au regard de la nature des Données personnelles et des risques présentés par le Traitement pour préserver la confidentialité et la sécurité des Données personnelles et notamment empêcher toute déformation, endommagement, perte et/ou tout accès qui ne serait pas préalablement autorisé par le Client ;
● Ne pas communiquer ou divulguer, directement ou indirectement, les Données personnelles confiées ou mises à sa disposition à des tiers au présent Contrat, y compris aux filiales du Prestataire. Cette interdiction ne remet pas en cause l’autorisation de sous-traitance pouvant être accordée au Prestataire ;
● Ne pas confier ou mettre à disposition les Données personnelles à d’autres salariés/préposés que ceux concernés par l’exécution des prestations. Le Prestataire s’engage à informer les salariés/préposés susvisés des stipulations du présent Contrat. Plus généralement, le Prestataire s’engage à prendre toutes les mesures visant à faire respecter les stipulations du présent Accord par ses employés et préposés pour lesquels il se porte fort.
● Permettre au Client l'exécution de ses obligations légales en lien avec le respect des droits des personnes concernées, notamment ceux listés au sein de l’article “Assistance du Prestataire” et à tenir et présenter toute documentation ou registre que la loi lui imposerait.

7. Localisation de traitement des données personnelles

7.1. Les Traitements de Données à caractère personnel doivent être exclusivement opérés au sein de l’UE.
7.2. Par exception et si l’exécution des prestations le justifie, des Traitements de Données à caractère personnel pourront être réalisés hors UE, mais uniquement sur autorisation expresse, préalable et écrite du Client. A ce titre, le Prestataire s’engage à fournir au Client toute précision permettant
d’identifier les Traitements et Données concernés, les Pays tiers concernés, ainsi que les mesures de sécurité mises en œuvre pour protéger les Données concernées dans ces Pays tiers.
7.3. En tout état de cause, le Prestataire reconnaît que l’autorisation ne pourra être accordée que si le Transfert hors UE envisagé répond à l’une des conditions suivantes :
● Le Traitement est réalisé au sein d’un Pays tiers bénéficiant d’une Décision d’adéquation ;
● Le Traitement est encadré par des Clauses contractuelles types (Responsable de Traitement à Sous-traitant) émises par la Commission européenne. Dans cette hypothèse, les Parties intègrent au Contrat lesdites clauses contractuelles types, qu’elles s’engagent à ratifier préalablement à la mise en œuvre du ou des traitements concernés ;
● Le Traitement est encadré par des Binding Corporate Rules type Sous-traitants.
7.4. Si la ou les condition(s) utilisée(s) pour encadrer le Transfert hors UE devenai(en)t caduque(s), les Parties conviennent de se rencontrer sans délai pour examiner la nouvelle manière d’encadrer le Transfert hors UE envisagé.

8. Sous-traitance

Le Client autorise le Prestataire, de manière générale, à engager des Sous-traitants supplémentaires pour traiter les Données. Dans cette hypothèse, le Prestataire se porte fort du respect par ses Sous-traitants des engagements auxquels il s’oblige lui-même par le présent Contrat. A la date de signature des présentes, les Sous-traitants du Prestataire sont ceux visés en Annexe. Cette liste de Sous-traitants est cependant susceptible d’être mise à jour. Le Prestataire informera préalablement et par écrit le Client de tout changement prévu concernant l’ajout ou le remplacement d’autres Sous-traitants. Le Client disposera alors d’un délai de cinq (5) jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le Client n’a pas émis d’objections pendant le délai convenu.

Le Prestataire est responsable vis-à-vis du Client de tout manquement au Contrat causé par lui-même ou toute personne agissant pour son compte ou à son initiative. Les Données ne sont transmises à aucun autre destinataire. En tout état de cause, le Prestataire est tenu d’encadrer ses relations avec ses propres Sous-traitants par un contrat reprenant les mêmes exigences que celles de la présente Annexe.

Dans l’hypothèse où le Prestataire est établi au sein de l’UE ou de l’EEE et que le Client l’autorise à faire appel à un sous-traitant situé dans un Pays tiers, l’autorisation de sous-traitance emportera mandat de signature des Clauses Contractuelles Types (hors décision d’adéquation). À première demande, le Prestataire fournira au Client les Clauses Contractuelles Types signées pour son compte avec le sous-traitant en question.

9. Mesures de sécurité

9.1. Le Prestataire devra mettre en œuvre les mesures organisationnelles et techniques permettant d'assurer la sécurité physique et logique des Données personnelles, conformément au plus haut des standards suivants :
● De l’état de l’art et des recommandations publiées par les autorités de protection des données ou les autorités administratives compétentes en matière de sécurité informatique.
● Des standards en vigueur dans l’industrie, notamment les normes ISO.

9.2. Les mesures de sécurité devront obligatoirement garantir l’intégrité des Données personnelles, la traçabilité de l’accès, la disponibilité des Données personnelles à tout moment et la confidentialité des Données personnelles et inclure notamment :
● L'identification et la sécurisation des locaux (par exemple : accès verrouillés, accès restreint et nécessitant une autorisation et une authentification).
● La sécurité logique (par exemple : sondes anti-intrusions, firewalls, authentification et archivage des accès sur les données, simulations d’incidents).
● Le chiffrement des Données personnelles conformément aux exigences de l'état de l'art en la matière.
● La sécurisation des flux d'échanges de Données personnelles de manière à ce qu'ils ne puissent être exploités par un tiers non autorisé.
● L’historicisation des activités sur le système informatique : les éléments suivis sont listés avec une indication de leur durée de conservation (à minima 1 an sauf contrainte réglementaire).
● La protection des environnements informatiques par logiciel antivirus à jour (programmes et signatures virales).
● La mise en place de procédures de contrôles pour s'assurer du niveau de sécurité, le Client pourra demander à être destinataire du résultat ainsi que des plans d'actions associés des différents tests réalisés comme par exemple pour des tests d’intrusion, des scans de vulnérabilité, des audits de sécurité, …

9.3. Il appartient au Prestataire de déterminer lesdites mesures et de les transmettre au Client au plus tard à la conclusion du Contrat et à tout moment sur demande du Client, ou en cas de modification de sa politique de sécurité.

9.4. Le Prestataire, en sa qualité de professionnel dans le domaine de la réalisation des prestations, conserve une obligation générale de conseil et de mise en garde concernant l’ensemble de ces mesures.

10. Notification des violations

Le Prestataire s’engage à notifier au Client toute Violation de Données dans les meilleurs délais après avoir pris connaissance de la survenance d’une telle Violation, en communiquant au Client les éléments permettant de documenter cette Violation et de permettre au Client de répondre à son obligation de notification et de remédiation auprès de l'autorité de contrôle. Le Prestataire utilisera à cette fin le formulaire joint en Annexe.
Sous réserve de la législation applicable, le Prestataire s’interdit toute action de communication. A l'issue de la clôture de la Violation, le Prestataire présentera un bilan au Client.

11. Réquisition judiciaire ou administrative

Le Prestataire s’engage à notifier au Client toute demande de transmission ou de consultation des Données émise par une autorité judiciaire ou administrative dans les 24 heures suivant ladite demande avant d’y apporter toute réponse.

12. Suppression des données

12.1. Le Prestataire s’engage à supprimer toutes les Données à caractère personnel à la première des deux échéances suivantes :
● A première demande du Client,
● Immédiatement à l’expiration du délai de conservation défini au Contrat, sauf demande expresse contraire du Client, et après d’être assuré auprès du Client qu’il dispose de ces Données.

12.2. Dans l’hypothèse où la suppression de Données à caractère personnel ne peut pas être réalisée directement par le Client, le Prestataire s’engage à réaliser toute suppression de toute Donnée à caractère personnel dans les deux (2) semaines à compter de la première demande et à en attester dans les deux (2) semaines à compter de la première demande de justification du Client.

13. Assistance du prestataire

13.1. Le Prestataire s'engage à permettre au Client l'exécution de ses obligations légales en lien avec le respect du droit des Personnes concernées par la prestation, incluant :
● Le droit d'accès : extraction dans un format lisible des informations dont le Prestataire dispose, dans le cadre de la relation avec le Client, sur la Personne concernée ;
● Le droit de rectification ou de suppression, pour lequel une attestation d'exécution pourra être demandée ;
● Le droit d’opposition ;
● Le droit à la portabilité des Données à caractère personnel ;

13.2. Dans l’hypothèse où le Prestataire serait saisi, directement ou par l’intermédiaire d’un Sous-traitant, d’une demande portant sur les droits visés ci-dessus, il s’engage à informer le Client dans les vingt-quatre (24) heures suivant ladite demande.

13.3. Le Prestataire s’engage également à aider le Client pour la réalisation d’analyses d’impacts relatives à la protection des Données lorsque la nature du Traitement exige la réalisation d’une telle analyse.

14. Restitution des données

À tout moment le Client pourra demander et être assisté par le Prestataire, afin de réaliser une restitution des Données à caractère personnel transmises, dans les conditions visées à l’article "Réversibilité" du Contrat.

15. Audit

15.1. A la demande du Client, dans la limite d’une fois par an, le Prestataire soumettra ses moyens techniques, organisationnels et/ou méthodologiques à une vérification des activités couvertes par les présentes stipulations qui sera effectuée par le service d’audit interne du Client ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et n'appartenant pas à une société directement concurrente du Prestataire, sur le périmètre des prestations objet des présentes, et choisis par le Client.
15.2. Le Client s’engage à informer par écrit le Prestataire du démarrage de la vérification avec un délai de préavis minimum de deux (2) semaines.
15.3. Dans l’hypothèse où des écarts seraient constatés durant l’audit, le Prestataire prend à sa charge les moyens nécessaires à la mise en conformité par rapport au présent Accord. La mise en conformité se fera dans des délais définis avec le Client et donnera lieu à la production d'un
document signé démontrant la mise en conformité.
15.4. Dans le cas où le Prestataire n'autoriserait pas la vérification, n'engagerait pas les travaux de mise en conformité éventuels ou ne consacrerait pas les moyens nécessaires à leur finalisation au terme du délai convenu, le Client se réserve le droit de suspendre le traitement de Données à
caractère personnel et les prestations associées. Un tel refus constitue par ailleurs un manquement grave justifiant de plein droit, et sans aucune formalité judiciaire, la résiliation aux torts exclusifs du Prestataire sans préavis, ni indemnité.
15.5. Dans l’hypothèse où le Prestataire perdrait une certification concernant directement ou indirectement les modalités de traitement des Données à caractère personnel, le Client disposera de la faculté unilatérale, après une mise en demeure communiquée par lettre recommandée avec avis
de réception postale restée infructueuse durant dix (10) jours, de résilier de plein droit et sans préavis le Contrat, aux frais du Prestataire et sans qu’il ne soit dû quelque somme que ce soit à quelque titre que ce soit par le Client au Prestataire.

16. Résiliation de plein droit pour manquement

16.1. Le Client déclare que les stipulations relatives aux Données à caractère personnel constituent des éléments essentiels de son engagement, sans lesquels il n’aurait pas contracté avec le Prestataire.
16.2. Dès lors, le Client peut se prévaloir de tout manquement constaté à ces stipulations, qui constitue alors un motif de résiliation de plein droit, aux torts exclusifs du Prestataire.
16.3. Le Prestataire est informé que le manquement à ses obligations au titre du présent accord pourra être démontré, notamment par des contrôles et procédures de tests en situation réelle mis en œuvre par le Client ou toute société tierce diligentée à cet effet. Le Prestataire reconnaît que ces
actions ont valeur probante aux fins de caractérisation de tout manquement.

17. Responsabilité au titre des présentes obligations

Les Parties reconnaissent que les manquements au présent Accord constituent des dommages directs et indemnisables, engageant la responsabilité du Prestataire en cas de manquement de sa part et/ou de ses Sous-traitants, dans les limites de responsabilité visées au sein du Contrat.

18. Dispositions légales

18.1 Intégralité
L’Accord représente l’intégralité de l’accord des Parties concernant le traitement des Données personnelles dans le cadre de leurs relations et remplace tout engagement oral ou écrit ayant le même objet. Il ne peut être modifié que d’un commun accord entre les Parties par voie d’avenant
écrit.
18.2 Divisibilité
La nullité partielle ou l’inapplicabilité des stipulations du présent Accord n’entraîne pas la nullité de l’Accord à moins qu’elle ne touche à une clause essentielle sans laquelle les Parties ne l’auraient pas convenu. Si une clause s’avère inapplicable, les Parties feront leurs meilleurs efforts afin de
remplacer la clause invalidée.
18.3. Abstention
Tout retard ou abstention de l’une des Parties dans l’exercice de ses droits ne saurait être interprétée comme valant renonciation de tout ou partie des droits qu’elle tient de l’Accord ou de la loi ni comme pouvant caractériser une modification implicite de l’Accord.
18.4. Langue
L’Accord est rédigé en langue française et s’il existe des documents rédigés en plusieurs langues, seule la version française fait foi entre les Parties.
18.5. Election de domicile
Pour la conclusion et l’exécution de l’Accord, les Parties font élection de domicile en leur siège social respectif, dont l’adresse figure à l’en-tête des présentes. Toute modification d’adresse de l’une des Parties ne deviendra opposable que huit jours après avoir été notifiée à l’autre Partie.

19. Loi applicable - compétence juridictionnelle

19.1. L’Accord est soumis au droit français.
19.2. En cas de différend entre les Parties relatif à la conclusion, l’interprétation, la validité, l’exécution, la cessation ou la mauvaise exécution de l’Accord, elles déclarent qu’elles rechercheront en priorité une solution amiable et, en l’absence d’accord ou lorsqu’un accord amiable n’est manifestement pas envisageable compte tenu des circonstances, elles attribuent compétence exclusive au Tribunal de Commerce de Lille Métropole, y compris en cas de référé ou pluralité de défendeurs, et même en cas d’appel en garantie.

Pour contacter la personne responsable des données personnelles, utilisez l'adresse e-mail suivante : dpo@woopit.fr