Retour sur la page précédente

Contrat de sous-traitance RGPD

Conformément à l’article 28, paragraphe 3, du règlement général sur la protection des données (RGPD)

La société PREVEDIA, Société par actions simplifiée, dont le siège social est situé 3 Place Forbin, 67640 Fegersheim, immatriculée au Registre du Commerce et des Sociétés de Strasbourg sous le numéro 903 894 129 et dont le numéro de TVA intracommunautaire est FR63903894129 (ci-après dénommée le « Sous-Traitant » ou « PREVEDIA ») propose à ses clients (ci-après le « Responsable de traitement ») professionnels une plateforme LMS (Learning Management System) intitulée « MonAccueilSécurité », disponible via une application web.

1. Objet

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après « le RGPD»).

2. Description du traitement faisant l’objet de la sous-traitance

PREVEDIA est autorisé à traiter pour le compte du Responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) de mise à disposition d’une plateforme LMS (Learning Management System) intitulée « MonAccueilSécurité » disponible via une application web.

Cette plateforme permet de collecter des données personnelles des salariés du Responsable de traitement ainsi que de toute autre personne en relation avec celui-ci qu’il convient de former sur l’accueil sécurité dans l’entreprise, pour des besoins de l’organisation de formations sur la sécurité au travail.

La finalité du traitement est l’organisation de formations des salariés du Responsable de traitement ainsi que de toute autre personne en relation avec celui-ci qu’il convient de former sur l’accueil sécurité dans l’entreprise.

Les données à caractère personnel traitées sont les noms, prénoms, emails, identifiants de connexion, sites et le cas échéant numéros de téléphone, métiers, catégorie d’apprenant et photos ainsi que les scores obtenus aux tests, le temps passé sur les modules de formations et la date de validation des formations.

Les catégories de personnes concernées sont les salariés du Responsable de traitement ainsi que de toute autre personne en relation avec celui-ci qu’il convient de former sur l’accueil sécurité dans l’entreprise, en tant qu’apprenants ou en tant qu’administrateur de la plateforme pour le Responsable de traitement.

Pour l’exécution du service objet du présent contrat, le Responsable de traitement met à la disposition du Sous-traitant les catégories de données personnelles précitées concernant les utilisateur de la plateforme MonAccueilSécurité, dans la mesure où le Sous-traitant ne peut pas les collecter lui-même lors de l’exécution du contrat.  

3. Durée du contrat

Le présent contrat entre en vigueur pendant toute la durée de la relation contractuelle au sens des CGV entre les parties.

4. Obligations du Sous-traitant vis-à-vis du Responsable de traitement

Le Sous-traitant s'engage à :

  1. traiter les données uniquement pour la seule finalité qui fait l’objet de la sous-traitance
  2. traiter les données conformément aux instructions documentées du Responsable de traitement. Il est entendu que les instructions que PREVEDIA doit appliquer pour le traitement des données du Responsable de traitement résultent de la description des services et des abonnements (dans le devis et sur le site Internet www.monaccueilsecurite.fr), des CGV et des CGU et du présent contrat de sous-traitance. Toute instruction particulière et dérogeant du Responsable de traitement suppose un accord écrit entre les parties.

    Si le Sous-traitant considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit français relative à la protection des données, il en informe immédiatement le Responsable de traitement.

    En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit français auquel il est soumis, il doit informer le Responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public
  3. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat
  4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
    • s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
    • reçoivent la formation nécessaire en matière de protection des données à caractère personnel
  5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut
  6. Sous-traitance
    PREVEDIA peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. A la demande du Responsable de traitement, PREVEDIA peut mettre à sa disposition la liste actuelle des sous-traitants ultérieurs. PREVEDIA informe préalablement et par écrit le Responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le Responsable de traitement dispose d’un délai minium de 15 jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le Responsable de traitement n'a pas émis d'objection pendant le délai convenu.

    Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Responsable de traitement. Il appartient au Sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le Responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
  7. Droit d’information des personnes concernées
    Il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données. Il est néanmoins précisé que PREVEDIA met des Conditions générales d’utilisation ainsi qu’une Politique de confidentialité à la disposition de l’ensemble des utilisateurs de MonAccueilSécurité afin de leur procurer une information supplémentaire.
  8. Mesures de sécurité
    PREVEDIA s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires afin de garantir un niveau de sécurité, d’intégrité et de confidentialité adéquat et suffisant pour le traitement et la conservation des données qu’elle traite pour le Responsable de traitement.
    PREVEDIA a déployé un système de sécurité robuste afin d’assurer la plus grande sécurité des données collectées et de détecter les violations de données. Cela inclut la sécurité physique des bâtiments abritant ses systèmes, la sécurité du système informatique pour empêcher l'accès externe aux données, et le fait d'avoir des sauvegardes sécurisées des données.
  9. Notification des violations de données à caractère personnel
    PREVEDIA notifie au Responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par courrier électronique à l’adresse indiqué par le Responsable de traitement au moment de la conclusion du contrat. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
  10. Aide de PREVEDIA dans le cadre du respect par le Responsable de traitement de ses obligations
    PREVEDIA aide le Responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données. PREVEDIA  aide le Responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
  11. Exercice des droits des personnes
    Dans la mesure du possible, PREVEDIA doit aider le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

    Lorsque les personnes concernées exercent auprès de PREVEDIA des demandes d’exercice de leurs droits, PREVEDIA doit adresser ces demandes dès réception par courrier électronique au Responsable de traitement, à l’adresse électronique indiquée au moment de la conclusion du contrat.
  12. Sort des données
    Au terme de la prestation de services relatifs au traitement de ces données et après l’expiration du délai de conservation légal, PREVEDIA s’engage à détruire toutes les données à caractère personnel qu’elle a traitées et sauvegardées pour le Responsable de traitement pendant toute la durée de la relation contractuelle.
  13. Registre des catégories d’activités de traitement
    PREVEDIA déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement contenant les informations prévues au RGPD.
  14. Documentation
    PREVEDIA met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le Responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

5. Obligations du Responsable de traitement vis-à-vis du sous-traitant

Le Responsable de traitement s’engage à :

  1. fournir au PREVEDIA les données visées au II des présentes clauses
  2. respecter ses obligations en tant que Responsable de traitement résultant du RGPD ainsi que de la réglementation en vigueur en matière de protection des données personnelles
  3. documenter par écrit toute instruction concernant le traitement des données par le sous-traitant
  4. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant
  5. superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant
  6. contribuer activement à la sécurité des données en prenant toutes les mesures techniques et organisationnelles nécessaires et notamment en assurant la confidentialité de ses codes d’accès et mots de passe à la plateforme MonAccueilSécurité ;
  7. s’assurer de disposer du consentement des personnes concernées par le traitement des données personnelles et faire le nécessaire afin d’obtenir un consentement valable desdites personnes ;
  8. de manière générale, s’engager à respecter l’ensemble de ses obligations légales et résultant du présent contrat de sous-traitance, des CGV et des CGU.