Politique de cookies (UE)

I. Objet

Les présentes clauses ont pour objet de définir les conditions dans lesquelles NetPaq, (ci-après « le  sous-traitant »), s’engage à effectuer pour le compte de son client (ci-après « le responsable du traitement ») les opérations de traitement de données à caractère personnel définies ci-après.  

A ce titre, NetPaq s’engage à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données (R.G.P.D) »). 

La présente annexe est considérée comme une annexe contractuelle qui s’impose aux parties et ne modifie pas les termes des contrats conclus. En cas d’écart entre le présent document et le ou les contrats conclus, la présente annexe prime s’agissant de la seule question du traitement des données personnelles. 

II. Définition

Les données « à caractère personnel » recouvrent l’ensemble des informations relatives aux personnes physiques, directement ou indirectement identifiées. Une personne est identifiée ou identifiable dans un fichier dès lors que figurent dans ce dernier des informations permettant directement ou indirectement son identification (par exemple : son nom et son prénom, l’adresse IP de son ordinateur, son numéro de téléphone, sa photographie, sa voix, ses données de géolocalisation ou encore une combinaison d’informations permettant de reconnaître cette personne au sein d’une population telles que, par exemple, son lieu de résidence, sa profession, son âge et son genre…). 

Le « traitement de données à caractère personnel » recouvre toutes les opérations portant sur les données, c’est-à-dire : « la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. » 

Les « données sensibles » concernent les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les appréciations sur les difficultés sociales des personnes ou celles relatives à la protection des données personnelles relatives à la vie sexuelle, à la santé, aux infractions ou aux condamnations. Par principe, leur collecte et leur traitement sont interdits, il existe néanmoins certaines exceptions. 

La « violation de données à caractère personnel » : désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. 

III. Description du traitement faisant l’objet de la sous-traitance

Le sous-traitant est autorisé à traiter les données personnelles, pour le compte du responsable de traitement des données à caractère personnel, afin de fournir les services suivants : 

– Opérations de maintenances contractuelles sur les systèmes d’informations 
– Opérations d’assistances contractuelles aux collaborateurs du responsable de traitement 
– Prestations techniques ponctuelles 
– Prestations de conseil 
– Abonnements aux services en ligne (messagerie, cloud, VoIP, …) 
– Devis, facturation et relation commerciale 
– Opérations techniques internes (sauvegardes, contrôle de bon fonctionnement,…) 

 Pour la fourniture de ces services, les données personnelles traitées par le sous-traitant peuvent être : 

– Des informations de contact client (nom ; prénom ; adresse email, numéro de téléphone, fonction au sein de l’entreprise), 
– Des informations techniques (adresses IP, cookies, journaux, identifiants de connexion, …) 
– Des données personnelles visualisées ponctuellement par l’équipe technique du sous-traitant lors d’opérations d’assistance demandées par le responsable de traitement. 
– Des données personnelles déposées par le(s) collaborateur(s) du responsable de traitement au sein de services en ligne (cloud, messagerie, VoIP, …) souscrits auprès du sous-traitant. 
– Des données personnelles de collaborateurs du responsable de traitement présentes au sein de sauvegardes techniques globales inhérentes aux services de maintenance proposés par le sous-traitant ou de services de sauvegarde directement contractés par le responsable du traitement. 

 Dans ce cadre, les personnes concernées par le traitement des données personnelles sont : 

– Les personnes bénéficiant de prestations d’installation, de dépannage, de maintenance et d’assistance de la part du sous-traitant.
– Les personnes bénéficiant de services hébergés (cloud, messagerie, VoIP, sauvegarde externalisée, …)  fournis par le sous-traitant.
– Les personnes pour lesquelles des données personnelles sont présentes au sein de sauvegarde techniques globales effectuées par le sous-traitant.
– Les contacts administratifs et techniques auprès du sous-traitant et autres interlocuteurs et points d’entrée auprès du responsable du traitement. 

 Dans le cadre de la mise à disposition de nouveaux services et solutions (en complément des contrats déjà existants avec ses clients), le sous-traitant s’assurera de collecter les nouvelles données et d’en assurer leur confidentialité conformément au règlement (UE) 2016/679. 

IV. Obligations du sous-traitant vis-à-vis du responsable de traitement

NetPaq, en sa qualité de sous-traitant, s’engage à : 

  1. Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
  2. Le cas échéant, traiter les données conformément aux instructions documentées du responsable de traitement. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public
  3. Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat
  4. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat : 
    – S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité 
    – Reçoivent la formation nécessaire en matière de protection des données à caractère personnel
  5. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut
  6. Sous-traitance : le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques, notamment celle d’hébergement en Data Center pour les services en ligne. Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du sous-traitant initial. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
  7. Droit d’information des personnes concernées : Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données. Le cas échéant, le sous-traitant assistera le responsable du traitement sur les moyens techniques pour y parvenir. 
  8. Exercice des droits des personnes : Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à la personne désignée par le responsable du traitement à cet effet, ou à défaut du responsable légal de l’entité.
  9. Notification des violations de données à caractère personnel : Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. 

En fonction de la gravité de la violation, et après accord du responsable de traitement, le sous-traitant notifie à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable de traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.  

La notification contient au moins : 

– La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ; 

– Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; 

– La description des conséquences probables de la violation de données à caractère personnel ; 

– La description des mesures prises ou que le responsable de traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. 

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

 10. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations : Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relatives à la protection des données. Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle. 

 11. Mesures de sécurité : Le sous-traitant s’engage à mettre en œuvre toute les mesures de sécurité et bonnes pratiques en la matière, en rapport avec le risque encouru et les moyens qui lui sont alloués par le responsable du traitement, et notamment : 

– Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement. 

– Les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique. 

Dans le cadre d’un contrat de maintenance, le sous-traitant s’engage à proposer au responsable de traitement, lorsque c’est nécessaire, les évolutions de son système d’informations lui permettant d’assurer le niveau de sécurité adéquat en regard de l’importance des données personnelles traitées et des risques encourus.  

 12. Sort des données : Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à : 

Au choix des parties : 

– Détruire toutes les données à caractère personnel ou 
– À renvoyer toutes les données à caractère personnel au responsable de traitement ou 
– À renvoyer les données à caractère personnel au sous-traitant désigné par le responsable de traitement 

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant.  

 13. Registre des catégories d’activités de traitement : Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant : 

– Le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
– Les catégories de traitements effectués pour le compte du responsable du traitement ; 
– Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ; 
– Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :  
– La pseudonymisation et le chiffrement des données à caractère personnel ; 
– Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; 
– Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; 
– Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. 

V. Obligations du responsable de traitement vis-à-vis du sous-traitant

Le responsable de traitement s’engage à :
– Documenter par écrit toute instruction concernant le traitement des données par le sous-traitant 
– Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant