Traitement et enrichissement de données

1. Préambule et objet

 Les présentes conditions générales de vente sont proposées à ses clients par la société Tracker, SARL au capital de 7 800€, dont le siège social est situé à Roncq(59223), 124 rue du Billemont, immatriculée au Registre du Commerce et des Sociétés de Lille sous le numéro 432 765 485, avec le numéro intracommunautaire FR 64 432 765 485, dûment représentée par Monsieur Ludovic Holvoet, gérant.

Tracker est une société spécialisée dans le traitement informatique d’adresses et dans l’exploitation de bases de données Marketing.

L’objet des présentes est de définir les conditions dans lesquelles Tracker s’engage à effectuer les prestations. 

2. Opposabilité des présentes CGV

Les présentes Conditions Générales de Vente sont applicables à toutes les sociétés « clients » de Tracker souhaitant bénéficier des prestations qu’elle propose. La signature par le client d’un bon de commande ou l’acceptation du devis, entraîne de plein droit application des présentes conditions générales de vente. Seuls les contrats particuliers conclus entre Tracker et son client pourront déroger aux présentes.

Les présentes CGV peuvent à tout moment être modifiées par Tracker. Ces modifications ne seront applicables qu’aux prestations sollicitées après la mise en ligne de ces modifications.

Les documents contractuels sont, par ordre de priorité décroissant : les présentes CGV et ses annexes, puis la proposition commerciale.

En cas de contradiction entre des documents de nature différente ou de rang différent, il est expressément convenu entre les parties que les dispositions contenues dans le document de rang supérieur prévaudront pour les obligations se trouvant en conflit d’interprétation.  

3. Prestations et obligations de Tracker

Tracker effectue sur instructions du Client des prestations de traitement informatique et statistique de données telles que définies dans la proposition commerciale, notamment :

  • RNVP : Restructuration, normalisation, validation postale
  • Déduplication, dédoublonnage
  • Traitement des PND/NPAI
  • Enrichissement de données BtoB ou BtoC
  • Sélection de prospects BtoC ou BtoB pour une campagne marketing
  • Constitution de fichiers BtoC ou BtoB pour permettre la réalisation de sondages et études
  • Analyse de bases de données/RFM/ RFMT/ Scoring /Etude origine/Life Time Value
  • Sirétisation
  • Campagnes e-mailing
  • Campagnes SMS
  • Hébergement, comptages et livraisons de bases de données 
  • Géocodage d’adresses 

Tracker se réserve le droit de mettre un terme à la fourniture de ses prestations, et ce sans délai, en cas de demande de prestations illicites, ou contraires aux règles déontologiques de la profession, ou encore en cas de non-respect de la législation en vigueur, sans que le client ne puisse prétendre à aucune réparation à ce titre.

Après que le Client lui a exposé ses besoins, contraintes et objectifs de manière claire et précise, Tracker lui adresse une proposition commerciale ou devis, correspondant à des prestations particulièrement adaptées à ses besoins. Cette proposition commerciale ou devis devra être retourné, accepté et signé, à Tracker, par mail.

Une fois réalisée, Tracker livre sa prestation au client, ou à un tiers à la demande expresse du client. Cette remise est formalisée par un bon de livraison. Tracker décline toute responsabilité quant à l’utilisation faite de ces fichiers ou données par le client, ainsi que des messages que le client adresse ou fait adresser par un tiers.

Les délais d’exécution des prestations réalisées par Tracker sont précisés dans la proposition commerciale à titre indicatif.

4. Obligation du client

Le client assure Tracker qu’il est propriétaire ou dispose de droits suffisants sur l’ensemble des données nécessaires à l’exécution des prestations.

Le client s’engage en vue de l’exécution des prestations prévues au sein de la proposition commerciale ou devis, à remettre à Tracker tous les éléments et informations nécessaires à l’exécution de ces prestations.

5. Conditions financières

Les prix sont définis dans la proposition commerciale ou devis.

Les prix sont établis hors taxes et sont à majorer des taxes en vigueur au jour de la facturation, notamment de la TVA.

Le client procédera au paiement de la facture par chèque ou par virement dans un délai de 30 jours fin de mois.

Sauf délai sollicité par le client et accordé par Tracker, le défaut de paiement à l’échéance d’une seule facture ou son paiement partiel entraînera de plein droit, sous réserve d’une mise en demeure préalable, le paiement de pénalités de retard équivalent à 3 fois le taux d’intérêt légal, et ce jusqu’au paiement complet de la facture en cause. 

6. Garanties

Tracker ne garantit en aucun cas le succès commercial des opérations effectuées par le client à partir des fichiers et données traités par Tracker dans le cadre des présentes.

Par ailleurs, et ce malgré des données mises à jour mensuellement, une tolérance de 7% de PND (plis non distribués) d’usage, est appliquée en matière de commercialisation de contacts.

Concernant les données du client, ce dernier garantit Tracker et s’engage à justifier à première demande de celle-ci, notamment que les données et fichiers du client transmis à Tracker le sont en conformité avec la législation en vigueur, et qu’ils peuvent faire l’objet des prestations au regard de ces dispositions.

Ces garanties valent pour les fichiers du client et les données transmis par le client mais appartenant à des tiers, ou transmis à Tracker par des tiers à la demande du client dans le cadre d’un contrat liant ce dernier auxdits tiers.

Tracker se réserve le droit de demander au client de lui fournir une attestation d’autorisation des tiers. Tout retard ou responsabilité en résultant ne pourra être mis à la charge de Tracker.

Le client garantit Tracker contre toute action, réclamation, revendication ou opposition de la part de toute personne invoquant notamment un droit, notamment de propriété intellectuelle ou un acte de concurrence déloyale et/ou parasitaire et/ou une atteinte à la vie privée ou à la protection des données à caractère personnel auquel l’exécution des présentes porterait atteinte et qui se rattacherait, directement ou indirectement aux données du client. Dans ce cas, les indemnisations et frais de toute nature, dépensés par Tracker pour assurer sa défense, y compris les frais de conseil, ainsi que tous les dommages et intérêts éventuellement prononcés contre elle, seront pris en charge par le client.

7. Responsabilité

Il est convenu entre les parties que Tracker n’est tenue à l’égard de son client qu’à une obligation de moyens.

Si la responsabilité de Tracker venait à être reconnue pour quelque cause que ce soit, le montant des dommages et intérêts auxquels elle pourrait être condamnée est expressément limité au montant hors taxes du prix des prestations concernées.

Le client assume seul les conséquences de toute action dirigée par un tiers ou toute condamnation en résultant. Plus précisément, le client assume seul les conséquences des infractions constatées aux dispositions de la Loi pour la confiance dans l’Economie Numérique (LCEN) en cas de prospection directe. Il assume également seul, les conséquences en cas d’infractions constatées aux dispositions de la législation informatique et libertés quant à la collecte ou le traitement des données.

Tracker ne pourra être tenu responsable en cas de dommages directs ou indirects subis par le client (perte de données ou fichiers, perte de chiffre d’affaires, de commande, de client ou de tout préjudice commercial) 

8. Force majeure

La responsabilité de Tracker ne pourra être engagée si un événement de force majeure est à l’origine de l’inexécution ou de l’exécution partielle de la prestation prévue au présent contrat.

De façon expresse, sont considérés comme cas de force majeure ou cas fortuits, outre ceux habituellement retenus par la jurisprudence des cours et tribunaux français : les grèves totales ou partielles, internes ou externes à l’entreprise, lockout, intempéries, épidémies, blocage des moyens de transport ou d’approvisionnement pour quelque raison que ce soit, tremblements de terre, incendies, tempêtes, inondations, dégâts des eaux, restrictions gouvernementales ou légales et tout autre cas indépendant de la volonté expresse des Parties empêchant l’exécution normale des présentes.  

9. Propriété intellectuelle

Les logiciels utilisés par Tracker dans le cadre de ses prestations restent sa propriété.

Les données fournies par le client en vue d’un traitement par Tracker demeurent la propriété du client si ce dernier en est propriétaire. S’il s’agit de données louées par le client, celui-ci conserve l’ensemble des droits inhérents à cette location.

Dans le cadre de la bonne exécution de ses prestations, le client accorde à Tracker un droit d’utilisation des données afin de procéder au traitement de celles-ci.

Les éléments qui seront remis par Tracker au client une fois les prestations effectuées seront la propriété exclusive du client, qu’ils aient été enrichis, dédupliqués, ou qu’ils aient subi des modifications de toute sorte du fait de la réalisation des prestations.

10. Confidentialité

Les parties ainsi que leurs représentants s’engagent à une obligation de confidentialité. Cette obligation s’étend des phases de négociation, à l’exécution des présentes, et se poursuivra après la fin des relations contractuelles entre Tracker et son client.

L’obligation de confidentialité porte sur les présentes, sur les informations, documents, éléments, données, échangés dans le cadre de l’exécution des présentes, sur le savoir-faire des parties, leurs droits de propriété intellectuelle, de manière générale sur tout élément concernant l’une des parties pouvant lui porter atteinte s’il était dévoilé.

Les parties s’engagent à ne pas copier ou reproduire d’éléments si cela n’est pas nécessaire à l’exécution des présentes. Elles s’engagent à restituer à la fin du contrat les informations confidentielles communiquées par l’autre partie et à ne pas en garder copie.

De manière générale, les parties n’utiliseront pas les données confidentielles de l’autre partie à d’autres fins que l’exécution des présentes. 

11. Données à caractère personnel

11.1 Données personnelles traitées par Tracker en tant que sous-traitant pour le compte du client, responsable de traitement


Dans le cadre des prestations confiées par le Client, Tracker est amené, en tant que sous-traitant, à traiter des données personnelles telles que défini par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, pour le compte de son client, responsable de traitement.

A ce titre, il convient de se référer à l’annexe 1 « Accord sur les traitements de données personnelles ». Cette annexe faisant partie intégrante des présentes CGV.


11.2 Origine des Données commercialisées par Tracker
Les données BtoC :

Tracker ne collecte pas de données personnelles auprès des personnes physiques. Les partenaires de Tracker, éditeurs de fichiers, agissent en leur qualité de responsable de traitement en collectant les données auprès des personnes
concernées. Ils transmettent ensuite leur base de données à Tracker, agissant en qualité de sous-traitant pour commercialisation.

Dans le cadre des contrats conclus avec ses partenaires, Tracker s’assure systématiquement que ces derniers s’emploient à une collecte de données conforme à la législation en vigueur, et notamment :

  • que les données commercialisées ont été recueillies dans le respect des principes de l’article 5 du règlement européen sur la protection des données personnelles (licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité)
  • que l’obligation d’information des personnes concernées a été respectée suivant l’article 13 du RGPD, notamment que les personnes ont été informées que leurs données sont susceptibles d’être transmises à certaines catégories de partenaires ou à une liste précise de partenaires selon le cas d’usage final ;
  • que l’obligation de laisser aux personnes concernées, la possibilité de s’opposer à la transmission de leurs données à ces partenaires, ou de recueillir leur consentement suivant le cas d’usage final, ont été respectées.
Les données BtoB :

Tracker peut procéder directement à la collecte de données grâce à ses outils propres, afin de collecter, qualifier, et enrichir la donnée publique, présente en ligne. Les données librement accessibles sur internet sont issues de l’Open Data (INSEE, RCS, INPI,Bodacc,etc…)

Tracker agit alors en qualité de responsable de traitement sur la base de son intérêt légitime afin de transmettre des informations aux clients de Tracker à des fins de sollicitation commerciale, d’étude et de connaissance client, afin que ces derniers adressent des communications en rapport avec la fonction/activité professionnelle.

Les données traitées sont les nom, prénom, fonction et coordonnées professionnelles.

Détails du traitement : collecte, enregistrement, stockage, structuration, rapprochement, communication à des partenaires commerciaux.

Destinataires : Clients professionnels de Tracker

 

Tracker sollicite également des partenaires privés pour lesquels elle intervient en tant que sous-traitant dans le cadre de la commercialisation de leur base de données.

Tracker s’assure que ses partenaires fournisseurs de données professionnelles respectent les obligations qui leur incombent au titre de la règlementation, notamment l’obligation d’informer les personnes concernées et leur laisser la possibilité de s’opposer au traitement de leurs données.

Confrontation à la liste Bloctel :

Conformément aux dispositions du code de la consommation, les prestations d’enrichissement téléphonique doivent obligatoirement être confrontées à la liste d’opposition au démarchage téléphonique Bloctel, sous réserve des exceptions reconnues par les textes et les autorités administratives et judiciaires, à savoir :

  • Une relation contractuelle préexiste entre le responsable de traitement et le consommateur
  • La prospection a pour objet la fourniture de journaux périodiques ou magazines ;
  • Le responsable de traitement n’effectue pas d’opération de prospection de consommateurs ;
  • Le responsable de traitement est un institut de sondage ou une association et l’objet de l’appel ne concerne pas la vente d’un bien ou la fourniture d’un service ;
  • Le consommateur souhaite être recontacté par le responsable de traitement et l’appel est effectué dans les 3 mois qui suivent la demande du consommateur pour le produit ou service concerné.

Le client reconnaît avoir eu connaissance des informations ci-dessus et s’engage à agir conformément à la législation en vigueur. Dès lors, en aucun cas la responsabilité de Tracker ne pourra être retenue au titre de la non-confrontation à la liste d’opposition au démarchage téléphonique.

 

12. Juridiction compétente

Les présentes conditions générales de vente sont soumises à la loi française.

En cas de litige né des présentes ou de son exécution, la juridiction compétente est celle des tribunaux de Lille.

 

 

Annexe 1. Accord sur la protection des données

Préambule

Dans le cadre de la prestation confiée par le client à la société Tracker, des opérations de traitement de données personnelles peuvent avoir lieu pour lesquelles Tracker intervient en qualité de sous-traitant du Client, lequel reconnaît qu’il est responsable du traitement. 

 

1. Objet


Le présent Accord a pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après pour la fourniture des prestations.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement des données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après « le règlement européen sur la protection des données »). Les Parties ont souhaité préciser, en application de l’article 28 dudit règlement, les obligations et engagements du sous-traitant ultérieur.

2. Interprétation

Pour les besoins des présentes, les notions de personne concernée, données à caractère personnel, traitement, consentement, responsable de traitement, sous-traitant, transfert de Données, ont le sens qui leur est attribué par la Réglementation applicable.

Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679 et du règlement (UE) 2018/1725 respectivement.

3. Durée

Le présent Accord, partie intégrante des Conditions générales de vente, entre en vigueur, le jour de l’acceptation des conditions de celles-ci.

4. Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes qui existent entre les parties au moment où les présentes clauses sont convenues ou qui sont conclues ultérieurement, les présentes clauses prévaudront.

5. Description des traitements de données personnelles faisant l’objet de la sous-traitance 

Le Licencieur est autorisé à traiter pour le compte du Licencié les Données à caractère personnel nécessaires pour fournir les services suivants :

La nature des opérations réalisées sur les Données, comprennent :

  • RNVP : Restructuration, normalisation, validation postale
  • Déduplication, dédoublonnage
  • Traitement des PND/NPAI
  • Enrichissement de données BtoB ou BtoC
  • Sélection de prospects pour une campagne marketing BtoB ou BtoC
  • Constitution de fichiers BtoB ou BtoC pour permettre la réalisation de sondages et études
  • Analyse de bases de données/RFM/ RFMT/ Scoring/Etude origine/Life Time Value
  • Sirétisation
  • Campagnes e-mailing
  • Campagnes SMS
  • Hébergement, comptages et livraisons de bases de données
  • Géocodage d’adresses


Les finalités du Traitement sont l’optimisation qualitative et financière des campagnes marketing pour fidéliser les clients ou donateurs du responsable de traitement, et recruter de nouveaux clients ou donateurs potentiels.

.Les Données traitées sont :

  • Éléments d’identités : état civil, adresse, coordonnées téléphoniques et électroniques, date et lieu de naissance, fonction professionnelle
  • Données d’activité comportementale (date, fréquence, montant des achats ou dons, modes de règlement)
  • Données de mode de vie (CSP, type d’habitat, préférences d’achat, etc..)
  • Indicateurs de qualification (stop courrier, préférence de canal de communication)

Les catégories de personnes concernées par les opérations de Traitement (les « Personnes Concernées ») sont :

  • Les clients ou donateurs du responsable de traitement
  • Les prospects du responsable de traitement


Durée du traitement et sort des données :

Il appartient au responsable de traitement de traitement de fixer des durées de conservation pour chaque traitement au regard des finalités pour lesquelles elles sont traitées.
Tracker informe son client qu’à défaut d’instruction de sa part, les données seront conservées le temps de la réalisation de la prestation puis archivées comme suit :

  • Hébergement : temps de la relation commerciale puis restitution au client et destruction
  • RNVP/déduplication/ traitement des PND : temps de réalisation de la prestation + 6 mois
  • Enrichissement de données, sirétisation, livraisons d’adresses : temps de réalisation de la prestation + 3 mois
  • Analyse de base de données : Temps de la réalisation de la prestation + 1 an

6. Obligations des parties

6.1. Instructions

Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.

Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction donnée par le responsable du traitement constitue une violation du règlement (UE) 2016/679 / du règlement (UE) 2018/1725 ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données.

6.2. Limitation de la finalité

Le sous-traitant traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du traitement, telles que définies au 5, sauf instruction complémentaire du responsable du traitement.

6.3. Durée du traitement des données à caractère personnel

Le traitement par le sous-traitant n’a lieu que pendant la durée précisée au point 5.

6.4. Sécurité du traitement

Le sous-traitant s’engage à mettre en œuvre l’ensemble des mesures de sécurité permettant de garantir l’intégrité des Données, la traçabilité de l’accès, la disponibilité des Données à tout moment et la confidentialité des Données. Ces
mesures doivent inclure notamment (liste non exhaustive) :

  • La sécurité physique des locaux : protection contre les menaces incendie & dégâts des eaux, protection des matériels contre les pertes de services essentiels, protection contre les intrusions, contrôle des accès, gestion et suivi des habilitations d’accès incluant la gestion des visiteurs, procédures d’alertes sur incidents.
  • La sécurité organisationnelle : responsabilités en matière de sécurité formellement définies et affectées, formation des personnels à la sécurité des Données, processus d’habilitation des accès aux systèmes d’information traitant des Données, procédure de gestion et notification des incidents de sécurité ou des demandes contraignantes affectant les Données, organisation de gestion de crise.
  • La sécurité logique : Durcissement des environnements informatiques, procédure de gestion des correctifs de sécurité, cloisonnement des architectures réseau (VLAN, DMZ) et filtrage (firewalls), sondes anti-intrusions, contrôle d’accès par authentification, politique de mots de passe, protection des environnements informatiques sensibles par logiciel antivirus à jour (programmes et bases de signatures virales).
  • La sécurisation des flux d'échanges de Données à caractère personnel (chiffrement, authentification), de manière à ce qu'ils ne puissent être exploités par un tiers non autorisé.
  • La traçabilité des actions et la gestion des preuves : Conservation des traces d’audit des activités sur le système informatique (accès utilisateurs, accès et actions administrateurs, changements des paramètres de sécurité des systèmes, accès aux Données à caractère personnel, etc.), horodatage fiable des traces d’audit, durée de conservation des traces garantie (à minima un (1) an sauf contrainte réglementaire).
  • La mise en place de procédures de contrôles pour s'assurer du maintien du niveau de sécurité dans le temps.
6.5. Données sensibles

Si le traitement porte sur des données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, ou des données relatives aux condamnations pénales et aux infractions («données sensibles»), le Responsable de traitement en avertira par écrit le Sous-traitant et lui fournira les instructions écrites relatives aux garanties supplémentaires attendues.

6.6 Privacy by design

Le sous-traitant prendra en compte, s’agissant de ses outils, produits, applications ou services les principes de protection des données dès la conception des nouveaux projets.

6.7. Documentation et conformité

Les parties doivent pouvoir démontrer la conformité avec les présentes clauses.

Le sous-traitant traite de manière rapide et adéquate les demandes du responsable du traitement concernant le traitement des données conformément aux présentes clauses.

Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et découlant directement du règlement (UE).

Le responsable du traitement peut décider de procéder lui-même à l’audit ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques du sous-traitant et sont, le cas échéant, effectués moyennant un préavis raisonnable.

Les parties mettent à disposition de l’autorité de contrôle compétente/des autorités de contrôles compétentes, dès que celles-ci en font la demande, les informations énoncées dans la présente clause, y compris les résultats de tout audit.

6.8. Recours à des sous-traitants ultérieurs

Le sous-traitant dispose de l’autorisation générale du responsable de traitement pour ce qui est du recrutement de sous-traitants ultérieurs sur la base d’une liste convenue ci-dessous.

 Nom du sous traitant  Activité  Adresse
 OVH  Hébergement de données  2 rue Kellermann 59100 ROUBAIX

 

Le sous-traitant informe spécifiquement par écrit le responsable du traitement de tout projet de modification de cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs au moins un mois à l’avance, donnant ainsi au responsable du traitement suffisamment de temps pour pouvoir s’opposer à ces changements avant le recrutement du ou des sous-traitants ultérieurs concernés. Le sous-traitant fournit au responsable du traitement les informations nécessaires pour lui permettre d’exercer son droit d’opposition. Le sous-traitant n’est en aucun cas obligé de renoncer à un changement de sous-traitant. Si à la suite d’une objection du responsable du traitement, le sous-traitant ne renonce pas au changement de sous-traitant, le responsable du traitement peut mettre fin aux services concernés sans pouvoir prétendre à indemnisation.

Lorsque le sous-traitant recrute un sous-traitant ultérieur pour mener des activités de traitements spécifiques (pour le compte du responsable du traitement), il le fait au moyen d’un contrat qui impose au sous-traitant ultérieur, en substance, les mêmes obligations en matière de protection des données que celles imposées au sous-traitant en vertu des présentes clauses. Le sous-traitant veille à ce que le soustraitant ultérieur respecter les obligations auxquelles il est lui-même soumis en vertu des présentes clauses et du règlement (UE) 2016/69 et/ou du règlement (UE) 2018/1725.

Le sous-traitant demeure pleinement responsable, à l’égard du responsable du traitement de l’exécution des obligations du sous-traitant ultérieur conformément au contrat conclu avec le sous-traitant ultérieur. Le sous-traitant informe le responsable du traitement de tout manquement du sous-traitant ultérieur à ses obligations contractuelles.

6.9. Localisation des traitements de données

Les traitements de données à caractère personnel sont effectués au sein de l’UE.

Par exception et si l’exécution de la prestation le justifie, des Traitements de données à caractère personnel peuvent être réalisés hors UE, mais uniquement sur autorisation expresse, préalable et écrite du Client.

En tout état de cause, le Prestataire reconnaît que l’autorisation ne pourra être accordée que si le Transfert hors UE envisagé est réalisé au sein d’un Pays tiers bénéficiant d’une Décision d’adéquation de la commission européenne, ou à défaut d’une telle décision, s’il a été prévu des garanties appropriées telles que des règles d’entreprise contraignantes ou des clauses types de protection des données adoptées par la commission européenne, et à la condition que les personnes concernées disposent de droits opposables et de voies effectives.

7. Assistance au responsable du traitement

Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement.

Le sous-traitant aide dans la mesure du possible le responsable de traitement, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Le sous-traitant informe sans délai le responsable du traitement de toute demande qu’il a reçue de la part de la personne concernée. Il ne donne pas lui-même suite à cette demande.

Le sous-traitant aide le responsable du traitement à garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont dispose le sous-traitant :

  1. L’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des données à caractère personnel (“analyse d’impact relative à la protection des données”) lorsqu’un type de
    traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques ;
  2. L’obligation de consulter l’autorité de contrôle compétente/les autorités de contrôle compétentes préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ;

8. Notification de violations de données à caractère personnel

En cas de violation de données à caractère personnel, le sous-traitant coopère avec le responsable du traitement et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent en vertu des articles 33 et 34 du règlement (UE) 2016/679 ou des articles 34 et 35 du règlement (UE) 2018/1725, selon celui qui est applicable, en tenant compte de la nature du traitement et des informations dont dispose le sous-traitant.

8.1. Violation de données en rapport avec des données traitées par le responsable du traitement

En cas de violation de données à caractère personnel en rapport avec des données traitées par le responsable du traitement, le sous-traitant prête assistance au responsable du traitement:

  1. aux fins de la notification de la violation de données à caractère personnel à l’autorité de contrôle compétente/aux autorités de contrôle compétentes, dans les meilleurs délais après que le responsable du traitement en a eu connaissance, le cas échéant (sauf si la violation de données à caractère personnel est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques);
  2. aux fins de l’obtention des informations suivantes qui doivent figurer dans la notification du responsable du traitement, et inclure, au moins:
    1. la nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
    2. les conséquences probables de la violation de données à caractère personnel;
    3. les mesures prises ou les mesures que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais;

        c. aux fins de la satisfaction, de l’obligation de communiquer dans les meilleurs délais la violation de données à caractère personnel à la personne concernée, lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

8.2. Violation de données en rapport avec des données traitées par le sous-traitant

En cas de violation de données à caractère personnel en rapport avec des données traitées par le sous-traitant, celui-ci en informe le responsable du traitement dans les meilleurs délais après en avoir pris connaissance. Cette notification contient au moins :

  1. Une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d'enregistrements de données à caractère personnel concernés) ;
  2. Les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de données à caractère personnel ;
  3. Ses conséquences probables et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.

Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais.

9. Non-respect des clauses et résiliation

Sans préjudice des dispositions du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725, en cas de manquement du sous-traitant aux obligations qui lui incombent en vertu des présentes clauses, le responsable du traitement peut donner instruction au sous-traitant de suspendre le traitement des données à caractère personnel jusqu’à ce que ce dernier se soit conformé aux présentes clauses ou jusqu’à ce que le contrat soit résilié. Le sous-traitant informe rapidement le responsable du traitement s’il n’est pas en mesure de se conformer aux présentes clauses, pour quelque raison que ce soit.

Le responsable du traitement est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel conformément aux présentes clauses si:

  1. le traitement de données à caractère personnel par le sous-traitant a été suspendu par le responsable du traitement conformément au point ci-dessus et le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ;
  2. le sous-traitant est en violation grave ou persistante des présentes clauses ou des obligations qui lui incombent en vertu du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725 ;
  3. le sous-traitant ne se conforme pas à une décision contraignante d’une juridiction compétente ou de l’autorité de contrôle compétente/des autorités de contrôle compétentes concernant les obligations qui lui incombent en vertu des présentes clauses ou du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.

Le sous-traitant est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses lorsque, après avoir informé le responsable du traitement que ses instructions enfreignent les exigences juridiques applicables conformément à la clause 7.1, point b), le responsable du traitement insiste pour que ses instructions soient suivies.

À la suite de la résiliation du contrat, le sous-traitant supprime, selon le choix du responsable du traitement, toutes les données à caractère personnel traitées pour le compte du responsable du traitement et certifie auprès de celui-ci qu’il a procédé à cette suppression, ou renvoie toutes les données à caractère personnel au responsable du traitement et détruit les copies existantes, à moins que le droit de l’Union ou le droit national n’impose de les conserver plus longtemps. Le sous-traitant continue de veiller à la conformité aux présentes clauses jusqu’à la suppression ou à la restitution des données.

10. Registre des catégories de traitement

Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client comprenant notamment :

  • Le nom et les coordonnées du responsable de traitement,
  • Les éventuels sous-traitants et, le cas échéant, leurs délégués à la protection des données,
  • Les catégories de traitements,
  • Le cas échéant, les transferts de Données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées,
  • Les mesures de sécurité techniques et organisationnelles spécifiques au traitement.

11. Délégué à la Protection des Données

Le sous-traitant a désigné un délégué à la protection des données :

Madame Sandra Holvoet – Déléguée à la Protection des Données

124 rue du Billemont 59223 Roncq 

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. 

Le responsable de traitement informera le sous-traitant des coordonnées du Délégué à la protection des données ou du point de contact en charge des questions de la protection des données dans sa structure lors de la commande des prestations.

Chaque Partie s’engage à notifier sans délai à l’autre Partie tout changement d’interlocuteur.