Annexe - Contrat de sous-traitance relatif au traitement de données à caractère personnel par FreeCard (Article 28 du RGPD)
Dans le cadre de l’exécution du contrat de prestations de services conclu entre FreeCard et le Client, auquel est jointe la présente annexe, FreeCard est susceptible de traiter, en qualité de Sous-traitant, des Données à caractère personnel pour le compte et selon les instructions du Client, celui-ci agissant en qualité de Responsable du traitement.
En toute hypothèse, ces Données à caractère personnel sont traitées par FreeCard dans le respect de la législation en vigueur en matière de protection des Données à caractère personnel et, plus particulièrement :
· des dispositions de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux Fichiers et aux Libertés ;
· du Règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), ainsi que des règles, recommandations ou codes de conduite d’un État membre adoptés par les autorités chargées de la protection des données.
Les termes commençant par une lettre majuscule, utilisés au sein des présentes mais n’ayant fait l’objet d’aucune définition au préalable, notamment au sein des conditions générales de vente d’abonnement (« CGV ») auxquelles la présente annexe est jointe (tels que Violation de Données à caractère personnel, Responsable du traitement, Sous-traitant, Personne concernée, etc.) ont le sens qui leur est attribué par la législation en vigueur sur la protection des Données à caractère personnel et en particulier, en vertu de l’article 4 du RGPD.
1. Désignation d’un délégué à la protection des données
FreeCard garantit au Client avoir désigné un délégué à la protection des données, lequel est tenu de remplir ses fonctions conformément aux articles 38 et 39 du RGPD et dont les coordonnées sont les suivantes dpo@freecard.fr
2. Objet et durée du traitement des Données à caractère personnel
Objet des traitements réalisés
✓ Conformément aux termes des CGV jointes et afin de fournir les Services choisis au Client, des Données à caractère personnel sont susceptibles d’être traitées par FreeCard aux fins de réaliser tout ou partie des Services choisis par le Client.
Toute instruction orale fournie à ce titre par le Client doit immédiatement être confirmée à FreeCard, au minimum par email à l’adresse suivante dpo@freecard.fr.
✓ Si FreeCard considère qu’une instruction donnée par le Client est contraire à la législation en vigueur sur la protection des Données à caractère personnel, il en informe immédiatement le Client concerné et est autorisé à suspendre l’exécution des Services et instructions données à ce titre jusqu’à ce que le Client les confirme ou les modifie.
Durée des traitements réalisés
✓ Les Données à caractère personnel concernées sont traitées par FreeCard pendant la stricte durée du contrat conclu avec le Client, correspondant à la durée nécessaire pour l’exécution des Services lui ayant été confiés.
3. Natures et finalités des traitements des Données à caractère personnel réalisés par FreeCard en qualité de Sous-traitant
La nature et la finalité des traitements des Données à caractère personnel réalisés par FreeCard pour le compte du Client résultent du contrat conclu et sont décrites ci-après :
· Stockage des données relatives à la clientèle du Client ;
· Alimentation et organisation de la base de données du Client ;
· Campagnes SMS et emailing.
En sa qualité de sous-traitant au sens du RGPD, FreeCard et/ou, s’il y a lieu, tout membre de son personnel ou collaborateur ne traitent les Données à caractère personnel leur étant communiquées que sur instruction documentée du Client ou, s’ils y sont tenus, en vertu de la réglementation applicable. À ce titre, FreeCard s’interdit d’exploiter tout ou partie des Données à caractère personnel concernées (y compris de manière groupée) pour toute autre finalité distincte de celles définies par le Client et ce, y compris pour toute utilisation à des fins commerciales, analytiques, statistiques, de recherches et développement, de marketing direct ou à toute autre fin.
FreeCard garantit au Client que les traitements des Données à caractère personnel sont confiés à des collaborateurs ou membres de son personnel disposant de bonnes connaissances en matière de protection des Données à caractère personnel et soumis à une obligation légale adéquate de confidentialité qu’ils se sont expressément engagés à respecter.
Dans le respect de la réglementation en vigueur en matière de protection des Données à caractère personnel, FreeCard tient un registre de l’ensemble des activités de traitement effectuées pour le compte du Client, y compris celles qui sont sous-traitées par des prestataires et sous-traitants de FreeCard, préalablement autorisés par le Client. Celui-ci se réserve le droit d’accéder à ce registre, mis à sa disposition et à celle de la Commission Nationale de l’Informatique et des Libertés chargée de la protection des données.
FreeCard s’engage à collaborer avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions menées pour le compte du Client, en sa qualité de sous-traitant.
4. Catégories de Données à caractère personnel et de Personnes concernées par les traitements réalisés par FreeCard
Les Données à caractère personnel traitées par FreeCard pour le compte du Client comprennent les catégories de données suivantes :
✓Données à caractère personnel de référence (identité, fonction, adresse/siège social, logo, photographies, pages des réseaux sociaux des personnes concernées)
✓ Coordonnées
✓ Informations contractuelles clés
□ Données relatives à la facturation des clients
□ Informations divulguées (obtenues auprès de tiers, par exemple, des agences d’information sur le crédit ou de répertoires publics, …)
□ Autres :
Les catégories de Personnes concernées par le traitement desdites Données à caractère personnel incluent ce qui suit :
✓ Clientèle du Client
✓Prospects du Client
✓ Interlocuteurs du Client
□ Abonnés
□ Salariés
□ Prestataires
□ Représentants autorisés
□ Autres : Contacts de la sphère personnelle
Toutes autres catégories de Données à caractère personnel et/ou de Personnes concernées dont les données devraient être traitées par FreeCard lui sont expressément et préalablement communiquées par le Client.
Aucune Donnée à caractère sensible n’a vocation à être traitée par FreeCard.
5. Modalités de transferts des Données à caractère personnel
Les traitements de Données à caractère personnel réalisés par FreeCard pour le compte du Client sont effectués exclusivement au sein d’un État Membre de l’Espace économique européen (EEE).
Tout transfert de Données à caractère personnel vers un pays tiers ou une organisation internationale ne peut être mis en œuvre que sur instruction documentée du Client et sous réserve de l’obtention de son consentement écrit et préalable. Dans une telle hypothèse, un tel transfert de Données à caractère personnel ne peut avoir lieu que si les conditions spécifiques prévues aux articles 44 et suivants du RGPD sont dûment remplies et respectées.
En cas de transfert de Données à caractère personnel en dehors de l’EEE, tous les documents et informations appropriés et relatifs à ce transfert sont fournis au Client.
6. Sécurité du traitement des Données à caractère personnel
FreeCard garantit au Client qu’il utilise des bases de données et des logiciels présentant les garanties suffisantes et a mis en œuvre toutes les mesures appropriées afin de garantir un niveau de protection adapté au risque en matière de confidentialité, d’intégrité, de disponibilité et de résilience des systèmes, en particulier afin d’empêcher toute fuite ou perte de Données à caractère personnel ou encore éviter que celles-ci ne soient faussées, endommagées ou communiquées à des tiers non autorisés.
A cet effet, FreeCard met en application toutes les mesures techniques et organisationnelles visées à l’article 32 du RGPD, et, si nécessaire, procède au renforcement des mesures d’ores et déjà prises afin d’assurer la sécurité effective et efficace des traitements de données réalisés pour le compte du Client.
En vertu de l’article 32 du RGPD, de telles mesures sont prises en considération de « l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques » et comprennent :
a) La pseudonymisation et le chiffrement des données à caractère personnel ;
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ».
FreeCard fournit au Client tous documents justificatifs attestant que les mesures techniques et organisationnelles requises ont été prises dans le cadre de ses traitements de Données à caractère personnel effectués pour le compte du Client. Ce dernier peut solliciter la remise de ces documents par FreeCard afin de pouvoir procéder à leur vérification. Si des modifications doivent être apportées à l’un ou plusieurs de ces documents, celles-ci seront mises en œuvre d’un commun accord entre FreeCard et le Client.
Il est entendu que les mesures techniques et organisationnelles prises par FreeCard sont susceptibles d’être développées, modifiées et/ou de faire l’objet d’améliorations techniques, étant précisé que le niveau de sécurité des mesures rectifiées est, en toute hypothèse, identique ou supérieur à celui des mesures initialement mises en place. Toutes modifications substantielles seront justifiées et feront l’objet d’une autorisation préalable et écrite du Client.
FreeCard s’engage à procéder à un contrôle régulier des procédures internes ainsi que des mesures techniques et organisationnelles afin de s’assurer que le traitement relevant de sa responsabilité est réalisé conformément à la législation en vigueur sur la protection des Données à caractère personnel et la protection des droits des Personnes concernées.
7. Droits des Personnes concernées et demandes formées par des autorités compétentes
FreeCard s’engage à répondre, dans les meilleurs délais, à toute demande formulée par le Client au sujet des Données à caractère personnel traitées pour son compte, afin de lui permettre d’examiner, dans les délais légaux et réglementaires applicables, toute demande adressée par des Personnes concernées, en particulier quant à l’exercice des droits dont elles disposent vis-à-vis de leurs données et en vue de leur apporter les réponses adéquates.
FreeCard ne répond pas, de sa propre initiative, à une demande formulée directement par les Personnes concernées ou par les autorités compétentes, sauf lorsque le Client lui en a expressément et préalablement fait la demande par écrit.
En sa qualité de sous-traitant, FreeCard s’engage à aider le Client à assurer son obligation réglementaire consistant à répondre aux demandes formulées par les Personnes concernées quant à l’exercice de leurs droits. À ce titre, FreeCard veille à informer le Client, dans les meilleurs délais, de toute demande ou sollicitation formulée par toute Personne concernée ou par une autorité compétente qui lui serait adressée directement.
8. Recours à la sous-traitance
Dans le cadre des traitements de Données à caractère personnel réalisés par FreeCard pour le compte du Client, il est convenu que :
✓FreeCard est habilité à recourir aux services de sous-traitants tiers afin de l’assister dans la réalisation des traitements de Données à caractère personnel réalisés pour le compte du Client, après avoir obtenu l’autorisation préalable, écrite, spécifique et expresse écrite du Client.
¨ Le recours à la sous-traitance par FreeCard est interdit.
Dans l’hypothèse où la sous-traitance a été expressément autorisée par le Client, FreeCard veille à :
· Recruter un sous-traitant dans le respect de la législation en vigueur et, en particulier, des dispositions prévues à cet effet par l’article 28 du RGPD ;
· Encadrer l’intervention de ce sous-traitant par le biais de tout contrat approprié et légalement opposable aux parties et prendre toutes les mesures de contrôle appropriées afin d’assurer la protection et la sécurité des Données à caractère personnel concernées pour tout ou partie d’un Service sous-traité ;
· Soumettre le sous-traitant concerné aux mêmes obligations lui incombant au titre des présentes en matière de protection des Données à caractère personnel traitées pour le compte du Client.
Si un sous-traitant fournit le service convenu en dehors de l’EEE, FreeCard veille au respect par ce dernier de la législation en vigueur en matière de protection des Données à caractère personnel.
Le ou les sous-traitants concernés ne sont autorisés à recruter eux même un autre sous-traitant qu’après avoir obtenu le consentement exprès, écrit, préalable et conjoint de FreeCard et du Client.
En toute hypothèse, FreeCard demeure responsable des actes et agissements de ses sous-traitants dans le cadre des traitements de Données à caractère personnel réalisés par ces derniers pour le compte du Client et du respect des obligations leur incombant à ce titre.
9. Droits et pouvoirs de supervision/contrôle du Client
Après en avoir dûment et préalablement informé FreeCard, le Client se réserve le droit de procéder à des inspections auprès de FreeCard afin de s’assurer du respect par ce dernier des obligations lui incombant dans le cadre des traitements de Données à caractère personnel lui incombant en qualité de sous-traitant. Tout contrôle doit en revanche être impérativement notifié à FreeCard au préalable et sous réserve d’un délai de préavis raisonnable.
Afin de permettre la réalisation de tels contrôles, FreeCard met à la disposition du Client toutes les informations nécessaires afin d’attester du respect des obligations lui incombant et, en particulier, des mesures techniques et organisationnelles mises en œuvre pour assurer la sécurité et la confidentialité des Données à caractère personnel.
La preuve de la prise des mesures adéquates par FreeCard peut être apportée par :
✓ Le respect des Codes de conduite approuvés, conformément à l’article 40 du RGPD ;
✓ La certification selon une procédure de certification approuvée, conformément à l’article 42 du RGPD ;
✓ Les attestations de réalisation d’audit, rapports d’audit ou extraits de rapports d’audit existants fournis par des organismes indépendants (par exemple, un cabinet d’audit, un délégué à la protection des données, un service de sécurité informatique, un auditeur protection des données, un auditeur qualité) ;
✓ Une certification appropriée obtenue à la suite d’un audit sur la protection des données ou la sécurité informatique (par exemple, selon le BSI-Grundschutz certification de protection informatique de base développée par l’Office fédéral de la sécurité des technologies de l’information (BSI)) ou la norme ISO/IEC 27001).
S’il s’avère que les mesures de sécurité mises en œuvre par FreeCard et/ou ses sous-traitants ne sont pas suffisantes et/ou appropriées, ou encore si ces mesures révèlent l’existence de manquements de leur part quant aux obligations leur incombant, FreeCard met en œuvre tous les moyens nécessaires afin de renforcer les mesures prises et/ou mettre fin aux éventuels manquements constatés.
10. Coopération et assistance de FreeCard auprès du Client
Pendant toute la durée des traitements de Données à caractère personnel réalisés par FreeCard pour le compte du Client, FreeCard fournit à ce dernier l’aide et l’assistance nécessaire afin de lui permettre de respecter ses propres obligations lui incombant en qualité de responsable du traitement.
En particulier, FreeCard veille à mettre en œuvre les moyens nécessaires afin d’aider le Client à assurer le respect de ses obligations afférentes à la sécurité des Données à caractère personnel, aux exigences de notification des Violations de Données à caractère personnel, aux Analyses d’Impact relatives à la Protection des Données (si nécessaires) et à la consultation préalable de l’autorité de protection des données compétente, telles que visées aux articles 32 à 36 du RGPD.
D’une manière générale, FreeCard s’engage à coopérer avec le Client et à l’assister, si cela s’avère nécessaire, afin de prouver sa mise en conformité avec législation en vigueur en matière de protection des Données à caractère personnel.
Si FreeCard a pu observer ou a été informé de l’existence d’une Violation de Données à caractère personnel, il en informe le Client dans les meilleurs délais après en avoir eu connaissance et s’interdit de divulguer auprès des tiers l’existence d’un tel incident.
Dans l’hypothèse où le Client ferait l’objet d’une enquête menée par une autorité chargée de la protection des données ou par toute autre autorité compétente, d’une procédure découlant d’une infraction pénale ou administrative, d’une action en responsabilité engagée par une Personne concernée ou un tiers ou de toute autre réclamation ou action en justice engagée à son encontre au cours de l’exécution du contrat les liant, FreeCard garantit au Client qu’il met tout en œuvre toutes les mesures nécessaires et adéquates afin de l’assister dans le cadre de cette procédure ou enquête.
11. Suppression et restitution des Données à caractère personnel par FreeCard en qualité de Sous-traitant
Ni copie ni duplication des Données à caractère personnel ne sont possibles sans que le Client n’en soit informé, à l’exception des copies de sauvegarde nécessaires aux traitements des Données à caractère personnel et/ou au respect des obligations légales et réglementaires incombant à FreeCard.
FreeCard conserve les Données à caractère personnel traitées pour le compte du Client pendant la durée indiquée au sein de l’article 2 des présentes.
Au terme du contrat les liant, ou à une date antérieure convenue d’un commun accord entre les parties, FreeCard remet au Client, sous une forme utilisable et exploitable, l’ensemble des Données à caractère personnel, documents, résultats de traitement et d’utilisation, ou – si le Client l’autorise expressément – procède à la destruction de tous ces documents, résultats et Données à caractère personnel dont il dispose à la date de cessation du contrat, dans le respect des dispositions légales et règlementaires en vigueur et applicables à ce titre.
Toutes copies des Données à caractère personnel effectuées par FreeCard au cours de l’exécution du contrat conclu avec le Client sont, en outre, supprimées, sauf si la législation en vigueur exige la conservation de tout ou partie des Données à caractère personnel concernées.
Un journal faisant état des opérations de destruction ou de suppression des Données à caractère personnel est tenu à jour par FreeCard et mis à la disposition du Client afin de lui prouver le respect de ses obligations.
La documentation utilisée pour faire état du bon traitement des Données à caractère personnel, conformément au contrat les liant, est conservée par FreeCard au-delà de la durée contractuelle, conformément aux durées de conservation légales ou réglementaires. FreeCard peut remettre cette documentation au Client à l’issue du contrat les liant afin de se libérer de cette obligation contractuelle.