الشروط والأحكام العامة

CONDITIONS GÉNÉRALES DE VENTE DES OFFRES IQUALIF APPLICABLES À COMPTER DU 10 mars 2020

SOMMAIRE :

- PREAMBULE

- DEFINITIONS

- CADRE DE LA COLLECTE DES DONNEES

- ENGAGEMENTS RESPECTIFS DES PARTIES

- APPLICATION

- SERVICES FOURNIS

 -SUPPORT TECHNIQUE

- MOYENS ET CONDITIONS D'EXPLOITATION

- OBLIGATION, FACTURATION ET PAIEMENT

- LOI APPLICABLE

 - TARIFICATION

- RESILIATION

- CONFORMITE DU SERVICE

- GARANTIES –RESPONSABILITES

- CONFIDENTIALITE

- INTEGRALITE - MODIFICATION

CONDITIONS GÉNÉRALES DE VENTE DES OFFRES IQUALIF

ENTRE :

Le Client, 

ET :

IQUALIF SARL, société dont le siège social est Espace Erreda, 52 bd Zerktouni, 1ier étage, N3, 20 140 à Casablanca, Maroc, joignable sur son site Internet : www.iqualif.com et par téléphone, ci­‐après dénommée IQUALIF.

PREAMBULE

Le Contrat comprend au jour de la souscription les présentes Conditions Générales de Ventes et ses annexes. L'ensemble est ci­-après dénommé le Contrat.

Editeur de logiciel fournissant des Navigateurs avec fonctions de recherches avancées, IQUALIF propose des logiciels professionnels, services informatiques et assimilés permettant au Client la collecte de data online. Dans ce cadre, IQUALIF, en tant que mandataire du Client, effectue lesdits collectes auprès d’éditeurs d’annuaires (ci-après dénommés les « Collectes Digitales »). L’Annonceur utilise une « Data Base » (ci-après « DB ») et souhaite alimenter celle-ci en données issues des Collectes Digitales afin de lui permettre de créer des segments marketing et ainsi d’optimiser ses actions marketing futures. Le Client a ainsi demandé à IQUALIF de collecter des données ou éléments extraits des annuaires universels. C’est dans ces conditions que les Parties se sont rapprochées afin de fixer le cadre de la collecte de ces données et les engagements respectifs des Parties (ci-après le « Contrat »).

  1. 1. DEFINITIONS 

Les expressions et termes en majuscule du Contrat auront la définition suivante.

Client : désigne toute personne physique majeure, disposant de la capacité juridique, ou personne morale, signataire des présentes conditions générales de ventes, ayant reçu un courrier émanant d’IQUALIF contenant la facture de la prestation, ou licences, pour accéder aux Services.

Forfait : désigne un forfait d’une durée déterminée de 1 mois, 3 mois, 6 mois, 1 an ou une autre durée pendant lequel le Client pourra utiliser les logiciels et services auquel il a souscrit.

Intéressé : désigne toute personne physique majeure, disposant de la capacité juridique, ou personne morale, qui souhaite un devis ou des informations quelconques pour un service ou produit fournis par IQUALIF.

Internet : désigne un réseau de plusieurs serveurs reliés entre eux et dont la localisation se situe en divers lieux géographiques à travers le monde. 

Parties : désigne IQUALIF et le Client ou l’Intéressé

Poste : désigne un ordinateur personnel.

Serveur : désigne un ordinateur maître contrôlant certains accès et certaines ressources sur le réseau.

  1. 2. CADRE DE LA COLLECTE DES DONNEES

Les Parties reconnaissent et acceptent que les données qui seront collectées par IQUALIF via ses logiciels exposés aux Collectes Digitales soient exclusivement les données classiques de l’annuaire universel (identité, coordonnées téléphoniques et adresse postale) (ci-après « les Données »).

Toute nouvelle demande du Client de collecte de données ne rentrant pas dans la catégorie susvisée devra faire l’objet d’un accord préalable et écrit de d’IQUALIF.

  1. 3. ENGAGEMENTS RESPECTIFS DES PARTIES

IQUALIF s’engage, au nom et pour le compte du Client, à intégrer des pixels contenant le tag de la DMP de l’Annonceur dans les créations et/ou les éléments de tracking des Collectes Digitales du Client et ce pour toutes lesdites Collectes Digitales. IQUALIF ne détient ni la propriété intellectuelle des Collectes Digitales, ni la propriété des bases de Données, et joue un rôle d’intermédiation entre le Client et les éditeurs d’annuaires.

Le Client accepte la collecte des Données par l’intermédiaire d’IQUALIF et ce pour toutes les Collectes Digitales effectuées auprès de lui. Le Client s’engage à ce titre à :

  • - mettre en place toutes les mesures propres à informer les personnes concernées de la collecte des Données, des finalités du traitement que le Client entend effectuer sur les Données, de leur durée de conservation et de l’existence de tiers autorisés à accéder aux Données ;
  • - effectuer tous les actes et procédures nécessaires, propres à informer et à garantir les internautes de leurs droits, notamment le droit d’accès, d’opposition, de rectification et d’effacement des Données conformément au règlement général sur la protection des données UE 2016/679 (RGPD).

IQUALIF agit au nom et pour le compte du Client. IQUALIF est un sous-traitant de traitement de données du Client au sens de l’article 4.8 du RGPD, en transférant ou partageant des Données sans moyen ni finalité commune avec le Client, dès lors que le Client détermine seul les finalités et les moyens du traitement de prospection auprès de personnes concernées qui ne sont pas inscrites sur une liste d’opposition (ex. BLOCTEL, DNCM, TPS, CRTC, Donotcall). La personne concernée reçoit des sollicitations du Client et non d’IQUALIF.

  1. 4. APPLICATION

Les présentes conditions générales composées également des conditions particulières présentes sur un des sites Internet d’IQUALIF sont applicables à toute fourniture de prestations. En conséquence, le fait de passer commande implique l'adhésion entière et sans réserve du Client aux présentes conditions générales de ventes. Aucune condition particulière autre que celles d’IQUALIF ne peut, sauf acceptation formelle et écrite par IQUALIF, prévaloir sur les présentes conditions générales. Toute clause contraire posée par le Client sera donc, à défaut d'acceptation expresse, inopposable à IQUALIF, quelque soit le moment où elle aura pu être portée à la connaissance de cette dernière. 

Le fait que IQUALIF ne se prévale pas à un moment donné de l'une quelconque des présentes conditions générales et/ou tolère un manquement par l'autre partie à l'une quelconque des obligations visées dans les présentes conditions générales ne peut être interprété comme valant renonciation par IQUALIF à se prévaloir ultérieurement de l'une quelconque desdites conditions. 

IQUALIF procède à la fourniture de logiciels professionnels accompagnés de leurs licences générées pour le Client sur sa plate-forme serveur suite à la réception du Bon de commande remplie en ligne par le Client à l'adresse www.iqualif.com ou www.iqualif.eu ou tout autre site géré par IQUALIF, et correspondant au paiement. 

IQUALIF accusera réception au Client du Bon de commande et du paiement. Au moment de remplir le bon de commande en ligne et en le validant, en cochant la case d’acceptation des conditions générales de ventes, le contrat régissant les relations entre le Client et IQUALIF est formé, sous réserve de l'envoi par IQUALIF d'un mail de prise en compte de la commande informant le Client des produits auquel il a souscrit. 

L'envoi du règlement à IQUALIF suffira à considérer le contrat formé. 

Ce contrat pourra également être conclu avec l'assistance d'IQUALIF si le client en fait la demande par e-mail ou par téléphone, sous réserve de l'envoi par IQUALIF d'un mail de confirmation de la commande informant le Client des produits auquel il a souscrit. 

La date d'envoi du mail de prise en compte de la commande du Client détermine la date initiale à laquelle la facturation prendra effet. 

Le contrat est réputé définitif au jour de l'envoi du mail de la prise en compte de la commande par IQUALIF. Les parties conviennent que cette confirmation émanant d’IQUALIF servira de preuve entre les parties en cas de conflit.

Ce mail de confirmation de commande sera archivé par IQUALIF sur ses propres serveurs et conservé en lieu sûr. 

La date et l'heure de réception seront celles relevées par le serveur de la société IQUALIF, qui feront foi entre les parties jusqu'à preuve contraire. 

En l'absence de l'envoi de cet accusé de réception, le contrat ne pourra être réputé conclu. Il appartient alors au Client de contacter IQUALIF pour l'en informer.

  1. 5. SERVICES FOURNIS

Les présentes conditions générales ont pour objet de définir les conditions techniques et financières dans lesquelles IQUALIF s'engage à fournir des prestations, services, outils et logiciels pour le Client. 

Les conditions particulières détaillent les différentes options d'abonnement en vue de la fourniture par IQUALIF de logiciels professionnels pour le Client. 

Le Client reconnaît expressément qu’IQUALIF ne participe aucunement au sens des présentes à la conception, au développement, et à la réalisation de logiciels spécifiques pour le Client et de ses outils informatiques de gestion et d'administration. 

Le service rendu par IQUALIF est soumis aux présentes conditions générales et conditions particulières telles qu'elles apparaissent sur un de ses sites www.iqualif.com, www.iqualif.eu

Ces conditions constituent l’ensemble du cadre contractuel liant les parties. Le simple fait de réserver en ligne vaudra acceptation pleine et entière des présentes Conditions Contractuelles. 

Le Client s’engage à disposer du pouvoir, de l'autorité et de la capacité nécessaire à la conclusion et à l’exécution des obligations prévues aux présentes. 

  1. 6. SUPPORT TECHNIQUE 

IQUALIF met à la disposition du Client une assistance technique : 

Sur le site web 

www.iqualif.com/contact-us

www.iqualif.com/faq

Ou par téléphone du lundi au vendredi de 9h à 17h ( heure française, coût d’un appel local en France métropolitaine ).

  1. 7. MOYENS ET CONDITIONS D'EXPLOITATION

Le Client doit disposer d’un accès au réseau Internet pour utiliser les logiciels professionnels IQUALIF.

Les logiciels et prestations IQUALIF sont fournis par du personnel expérimenté et spécialisé dans la gestion des outils informatiques.

IQUALIF fournit la puissance informatique, les équipements et les logiciels nécessaires au fonctionnement des services proposés au Client, la liste équipements et logiciels peut varier dans le temps.

IQUALIF s'engage à tout mettre en œuvre pour assurer la permanence, la continuité et la qualité des services qu'elle propose, et souscrit à ce titre une obligation de moyens. En conséquence, IQUALIF s'efforcera d'offrir des logiciels professionnels fonctionnels 24 heures sur 24, 7 jours sur 7 sans qu'elle puisse le garantir pour autant, compte tenu des facteurs externes qui pourraient empêcher l’utilisation de ses logiciels. 

Le client reconnaît par les présentes que des fluctuations de la bande passante et les aléas émanant du fournisseur d'accès sont des éléments pouvant entraîner une discontinuité dans l'accès, indépendante de la volonté de IQUALIF et extérieure à ses moyens techniques. 

IQUALIF garantit un accès et une utilisation de ses logiciels professionnels dans les conditions d'une charge serveur raisonnable. Dans l'hypothèse où, en raison d'un nombre de connexions ou de requêtes excédant les prévisions d’IQUALIF, les capacités offertes par le Prestataire deviendraient insuffisantes, les parties se concerteront afin d'envisager des modifications techniques pour apporter une solution.

  1. 8. OBLIGATION, FACTURATION ET PAIEMENT

IQUALIF s’engage à fournir des logiciels conformes à leur description telle qu’elle apparait sur le site www.iqualif.com

Le Client s’engage à régler et à respecter les délais de paiement indiqués sur  chaque facture qui lui seront adressées. Le client dispose de 14 jours ouvrés pour régler le montant total de la facture, sauf mention contraire écrite par IQUALIF. Les versements pourront être effectués sur un des comptes d’IQUALIF ou par tout autre mode de paiement proposé par IQUALIF.

Le Client ayant souscrit à un abonnement sans engagement doit avant le 3 du mois suivant sa commande « mettre en place un virement automatique vers notre compte » ou « fournir un RIB et une autorisation de prélèvement ». Le prélèvement ou le virement sont à effectuées entre le 1ier et le 5 de chaque mois. Tout retard de plus de 3 jours ouvrés entrainera la suspension de la licence et des services IQUALIF du Client.

Le Client ayant souscrit à un forfait doit s’acquitter du montant total de la facture correspondant à la durée du forfait lors de la commande.

Dans le cas où le Client ne s’acquitterait pas du règlement d’une facture dans les délais impartis ou ne procéderait pas à la mise en place d’un paiement automatique dans le cadre d’un abonnement sans engagement : IQUALIF suspendra la licence du Client, lui suspendra aussi tous les produits et services fournis par IQUALIF jusqu’à régularisation de la situation du Client.

Le Client est responsable et doit payer toutes les taxes et impôts dus en vertu du présent Contrat ou en relation avec celui-ci. Sauf indication contraire avec preuve écrite par IQUALIF, tous les montant dus par le Client a IQUALIF en vertu du présent contrat sont exclusifs de toutes taxes, droits, impôts ou frais gouvernementaux qui pourraient être imposé par une quelconque juridiction, qu’ils soient fondés sur des montants bruts ou non. Si le Client retient les paiements de taxes dues en vertu du présent contrat, le montant de la facture suivante sera automatiquement augmenté afin de compenser intégralement ces taxes.

Dans le cas où lQUALIF serait dans l’incapacité de fournir un de ses services ou de remplir une de ses obligations : Si le délai n’excède pas 15 jours, IQUALIF ne pourra être tenu pour responsable puisqu’il aura apporté une solution de remplacement. A compter du mois suivant le 15ième jour panne, IQUALIF stoppera les prélèvements automatiques de ses Clients. A compter du mois suivant le 15ième jour panne, IQUALIF remboursera les clients ayant effectué des virements automatiques ou ayant réglés avec un Forfait. Le montant remboursé sera versé mensuellement et égal au montant payé mensuellement par le Client ou égal au prix de son Forfait divisé par sa durée mensuelle de Forfait restante. Le montant total du remboursement ne pourra pas excéder le nombre de mois de souscription restants ou de Forfaits inutilisés, jusqu’au rétablissement des services et obligations d’IQUALIF.

  1. 9. LOI APPLICABLE

Le présent Contrat est régi par le droit marocain. L'utilisation des solutions fournies par IQUALIF est néanmoins soumise à la législation impérative d’ordre public de l’état ou du pays et aux conditions d'utilisations des sites et annuaires visités et/ou utilisés. De ce fait, les Utilisateurs et Clients d’IQUALIF sont tenus de respecter la législation de leur état ou pays  ainsi que les chartres et conditions d'utilisations des annuaires et sites visités et/ou utilisés.

Les lois de l’état ou du pays dans lequel le Client vit régi l’ensemble des réclamations et litiges dans le cadre du présent contrat, notamment les réclamations pour manquement aux termes du contrat, les réclamations fondées sur les lois fédérales en matière de protection des consommateurs, de concurrence déloyale, de garantie implicite, d’enrichissement injuste et de délits. Si le Client a acquis le logiciel dans un autre pays, les lois de ce pays s’appliquent. Le présent contrat décrit certains droits légaux. Le Client peut bénéficier d’autres droits, y compris des droits des consommateurs, prévus par les lois de votre état ou pays. Le Client peut également bénéficier de certains droits à l’égard de la partie auprès de laquelle le Client a acquis le logiciel. Le présent contrat ne modifie pas ces autres droits si les lois de l’état ou pays ne le permettent pas.

Tout différent entre les Parties quant à la validité, l'interprétation ou l'application du présent Contrat sera soumis à une tentative préalable de règlement à l'amiable. Si aucun règlement à l'amiable n’a pu être atteint dans un délai raisonnable, qui ne doit pas excéder 2 mois à compter de la première lettre, adressée par une Partie à l'autre au sujet de la contestation, les Parties consentent à faire appel à la juridiction exclusive du Tribunal de Commerce de Casablanca, Maroc.

  1. 10. TARIFICATION

Licence 1 poste valable 1 an :     179,99 € HT

Licence 1 poste valable 6 mois :     129,99 € HT

Licence 1 poste valable 3 mois :     79,99     € HT

Les tarifs sont fixes sauf mention contraire écrite par IQUALIF.

  1. 11. RESILIATION

Les licences IQUALIF avec Forfait sont fournies au Client pour une durée 1mois, 3 mois, 6 mois ou 1 an.

Les licences de 1 mois, 3 mois, 6 mois ou 1 an prennent fin et sont suspendues automatiquement à la fin de la durée du Forfait.

Cependant, les Forfaits peuvent être renouvelés automatiquement si le Client a donné son accord lors de la commande par écrit ou par l’acceptation de conditions spécifiques. Dans ce cas, le Client peut demander l’annulation du renouvellement automatique à tout moment en effectuant une demande écrite par mail ou par courrier postal.

Les licences IQUALIF avec abonnement sans engagement sont fournies au Client pour une durée indéterminée.

Le Client peut résilier les licences avec Forfait jusqu’à 7 jours après l’achat en effectuant une demande écrite par mail ou par courrier postal. 

Le Client peut résilier les licences avec abonnement sans engagement à tout moment en effectuant une demande écrite par mail ou par courrier postal. La demande de résiliation sera traitée sous 7 jours ouvrés et prendra effet à réception de la demande par mail ou courrier postal.

En cas d’inexécution ou de non-respect par l’une des Parties de l’une quelconque de ses obligations prévues au Contrat, l’autre Partie pourra notifier à la Partie défaillante la résiliation immédiate et de plein droit du Contrat sans recours au juge, dix (10) jours ouvrés après une mise en demeure de remédier, si cela s’avère possible, à cette inexécution ou violation, demeurée sans effet.

Il prendra automatiquement fin sans formalités ni recours au juge, ni indemnités d’aucune sorte, en cas de cessation de la commercialisation de logiciels et prestations d’IQUALIF.

  1. 12. CONFORMITE DU SERVICE 

Le Client reconnaît avoir vérifié l'adéquation du service à ses besoins et avoir reçu d’IQUALIF toutes les informations et conseils qui lui étaient nécessaires pour souscrire au présent engagement en connaissance de cause.

  1. 13. GARANTIES –RESPONSABILITES

Chaque Partie déclare avoir la capacité de s’engager et de conclure le présent Contrat.

Dans le cadre de l’exécution des engagements issus du présent Contrat, chaque Partie s’engage expressément à respecter les lois, réglementations et autres textes de toute nature applicables en matière de données personnelles, notamment le RGPD, CCPA.

Il est précisé à toutes fins utiles que le Client est responsable du traitement des données des Collectes Digitales qu’il collecte indirectement et gère seul, sans recours à IQUALIF qui n’a pas la qualité de responsable de traitement conjoint de ces Données.

  1. 14. CONFIDENTIALITE

Les Parties conviennent de garder le présent accord strictement confidentiel et de ne pas en révéler l’existence, ni aucun de ses termes sans le consentement écrit préalable de l’autre Partie, à moins que la divulgation n’en soit requise par toute administration, notamment fiscale, ou toute autorité de tutelle par la loi et les règlements ou pour les besoins d’une procédure judiciaire ou administrative. 

Chaque Partie gardera de façon strictement confidentielle toute information d’ordre technique, commercial, financier et opérationnel ou autre à laquelle elle aura eu accès dans le cadre de l’exécution du présent Contrat. 

Les obligations de confidentialité visées ci-dessus demeureront en vigueur après l’expiration des présentes pendant une durée de cinq ans.

  1. 15. INTEGRALITE - MODIFICATION

Le présent document représente l’intégralité du Contrat. Toute modification du Contrat devra faire l’objet d’un accord écrit et signé par les représentants habilités de chaque Partie. 

Il annule et remplace tous autres accords verbaux ou écrits de quelque nature que ce soit qui pourraient être intervenus préalablement entre elles.

Annexe traitement des données

La présente Annexe fait partie intégrante du Contrat et est conclu par et entre : 

  1. (i) Le Client (« Exportateur de données ») ; et
  2. (ii) IQUALIF (« Importateur de données »),

chacune étant une « Partie » et communément les « Parties ».

Préambule

ÉTANT DONNÉ QUE l’Importateur de données fournit des services logiciels professionnels, des services informatiques et assimilés (comme des Navigateurs avec fonctions de recherches avancées) ;

ÉTANT DONNÉ QUE, en vertu du Contrat, l’Importateur de données a accepté de fournir à l’Exportateur de données les services précisés dans le Contrat (les « Services ») ;

ÉTANT DONNÉ QUE, en fournissant les Services, l’Importateur de données reçoit ou bénéficie d’un accès aux informations de l’Exportateur de données ou aux informations d’autres personnes possédant une relation (potentielle) avec l’Exportateur de données, ces informations pouvant être qualifiées en tant que données personnelles selon la signification de la Réglementation (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques concernant le traitement des données personnelles et la libre circulation de ces données (« RGPD ») et d’autres lois de protection des données applicables ;

ÉTANT DONNÉ QUE cette Annexe contient les conditions générales applicables à la collecte, au traitement et à l’utilisation de ces données personnelles par l’Importateur de données en tant qu’agent de traitement des données autorisé de l’Exportateur de données, dans le but de s’assurer que les parties respectent la loi applicable sur la protection des données.

DÉSORMAIS, et afin de permettre aux Parties de poursuivre leur relation d’une manière conforme à la loi, les Parties ont conclu cette Annexe comme suit :

Partie 1

1. Structure du document et définitions

1.1 Structure

Cette Annexe se compose de différentes parties, comme suit :

Partie 1 :

contient les dispositions générales, par exemple concernant les définitions utilisées dans la présente Annexe, la conformité aux lois locales, l’échéance et la résiliation ;

Partie 2 :

contient le corps du document non modifié des Clauses types ;

Annexe 1.1 et suivant la Partie 2 :

contient les détails sur les opérations de traitement fournies par l’Importateur de données à l’Exportateur de données en tant qu’agent de traitement des données autorisé (comprenant le sujet du traitement, la nature et l’objectif du traitement, le type de données personnelles et les catégories de sujets de données) en vertu de la présente Annexe ;

Annexe 2 de la Partie 2 :

contient une description des mesures de sécurité techniques et organisationnelles de l’Importateur de données, qui sont appliquées de manière cohérente en lien avec toutes les activités de traitement décrites dans l’Annexe 1.1 et suivant la Partie 2 ;

Partie 3 :

contient les signatures des Parties qui déclarent être liées par cette Annexe et identifie chaque Importateur de données.

1.2 Terminologie et définitions

Aux fins de cette Annexe, la terminologie et les définitions utilisées par le RGPD sont applicables (également dans le corps du document de Clauses types dans la Partie 2, où les termes définis ne portent pas de majuscule). En plus de cela, 

« État membre"

désigne un pays appartenant à l’Union européenne ou à l’Espace économique européen ;

« Catégories spéciales de données (personnelles) »

se rapporte aux données personnelles dévoilant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l’appartenance à un syndicat, et les données génétiques, les données biométriques si elles sont traitées aux fins d’identifier de manière unique une personne physique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne ;

« Clauses types »

désigne les Clauses contractuelles types pour le transfert des données personnelles d’agents de traitement établis dans des pays tiers, conformément à la Décision de la Commission 2010/87/UE du 5 février 2010, qui a été modifiée par la Décision d’exécution de la Commission (UE) 2016/2297 du 16 décembre 2016 ;

« Sous-traitant »

désigne tout agent de traitement, situé à l’intérieur ou à l’extérieur de l’UE/EEE, qui accepte de recevoir de la part de l’Importateur de données ou de tout autre sous-traitant de l’Importateur de données, des données personnelles aux fins exclusives de traiter des activités à effectuer de la part de l’Exportateur de données après le transfert en accord avec les instructions de l’Exportateur de données, avec les conditions de cette Annexe et le Contrat avec l’Importateur de données.

2. Obligations de l’Exportateur de données

2.1 L’Exportateur de données a l’obligation d’assurer la conformité à toutes les obligations applicables en vertu du RGPD et à toute autre loi applicable sur la protection des données qui s’applique à l’Exportateur de données, ainsi que de démontrer cette conformité tel que l’exige l’Art. 5 (2) du RGPD. 

2.2 L’Exportateur de données a l’obligation de fournir à l’Importateur de données les dossiers respectifs des activités de traitement selon l’Art. 30 (1) du RGPD lié aux Services en vertu de cette Annexe, dans la mesure nécessaire pour que l’Importateur de données respecte l’obligation en vertu de l’Art. 30 (2) du RGPD. 

2.3 L’Exportateur de données doit désigner un agent ou un représentant de protection des données, dans la mesure requise par la loi applicable sur la protection des données. L’Exportateur de données a l’obligation de fournir les coordonnées de l’agent ou du représentant de protection des données, le cas échéant, à l’Importateur de données. 

2.4. L’Exportateur de données confirme avant la réalisation du traitement, par acceptation de la présente Annexe, que les mesures de sécurité technique et organisationnelle de l’Importateur de données, telles que définies dans l’Annexe 2 à la Partie 2, sont appropriées et suffisantes pour protéger les droits du sujet des données et confirme que l’Importateur de données fournit des garanties suffisantes à cet égard.

3. Conformité à la loi locale

Afin de satisfaire aux exigences de la mise en œuvre des agents de traitement suite à l’Art. 28 du RGPD, les amendements suivants sont applicables :

3.1 Instructions

  1. (i) L’Exportateur de données donne à l’Importateur de données l’instruction de traiter les données personnelles uniquement de la part de l’Exportateur de données. Les instructions de l’Exportateur de données sont fournies dans cette Annexe et dans le Contrat. L’Exportateur de données a l’obligation de s’assurer que toutes les instructions données à l’Importateur de données sont conformes aux lois applicables sur la protection des données. L’Importateur de données a l’obligation de traiter les données personnelles uniquement en accord avec les instructions fournies par l’Exportateur de données, sauf exigence contraire par l’Union européenne ou la loi de l’État membre (dans ce dernier cas, la Partie 1 Clause 3.2 (iv) (c) s’applique).
  2. (ii) Toutes les autres instructions allant au-delà des instructions contenues dans cette Annexe ou dans le Contrat doivent être comprises dans le sujet de cette Annexe et du Contrat. Si la mise en œuvre de cette instruction additionnelle occasionne des coûts pour l’Importateur de données, ce dernier informera l’Exportateur de données de ces coûts et en fournira une explication avant de mettre en œuvre l’instruction. Ce n’est qu’après que l’Exportateur de données a confirmé l’acceptation de ces frais pour la mise en place de l’instruction que l’Importateur de données doit mettre en œuvre cette instruction supplémentaire. L’Exportateur de données doit donner des instructions supplémentaires généralement par écrit, sauf si l’urgence ou d’autres circonstances spécifiques requièrent une autre forme (par ex. orale, électronique). Les instructions sous une autre forme que l’écrit doivent être confirmées par écrit et sans délai par l’Exportateur de données.
  1. 1. Sauf si l’Exportateur de données ne peut pas effectuer la rectification, l’effacement ou la restriction des données personnelles par lui-même, les instructions peuvent également être liées à la rectification, à l’effacement et/ou à la restriction des données personnelles telles qu’établies dans la Partie 1 Clause 3.3. 
  2. 2. L’Importateur de données doit immédiatement informer l’Exportateur de données si, selon lui, une instruction enfreint le RGPD ou d’autres dispositions de protection des données applicables de l’Union européenne ou d’un État membre (« Instruction contestée »). Si l’Importateur de données estime qu’une instruction enfreint le RGPD ou d’autres dispositions de protection des données applicables de l’Union européenne ou d’un État membre, l’Importateur de données n’est pas obligé de suivre l’Instruction contestée. Si l’Exportateur de données confirme l’Instruction contestée à réception des informations de l’Importateur de données et reconnaît sa responsabilité envers l’Instruction contestée, l’Importateur de données mettra en œuvre cette Instruction contestée, sauf si cette dernière se rapporte (i) à la mise en œuvre de mesures techniques et organisationnelles, (ii) aux droits des objets des données ou (iii) à l’engagement de Sous-traitants. Dans les cas (i) à (iii), l’Importateur de données peut contacter une autorité de supervision compétente pour faire évaluer légalement par celle-ci l’Instruction contestée. Si l’autorité de supervision déclare que l’Instruction contestée est légale, l’Importateur de données doit appliquer l’Instruction contestée. La Partie 1 Clause 3.1 (ii) reste applicable.

3.2 Obligations de l’Importateur de données

  1. (i) L’Importateur de données est obligé d’assurer que les personnes autorisées par l’Importateur de données à traiter les données personnelles de la part de l’Exportateur de données, en particulier les employés de l’Importateur de données ainsi que les employés de tout Sous-traitant, se sont engagées à respecter la confidentialité ou sont soumises à une obligation de confidentialité statutaire appropriée, et que ces personnes qui ont accès aux données personnelles les traitent en conformité avec les instructions de l’Exportateur de données.
  2. (ii) L’Importateur de données est obligé de mettre en œuvre les mesures de sécurité techniques et organisationnelles telles qu’établies dans l’Annexe 2 à la Partie 2 avant de traiter les données personnelles de la part de l’Exportateur de données. L’Importateur de données peut modifier les mesures de sécurité techniques et organisationnelles de temps à autre, si ces dernières n’offrent pas une protection inférieure à celles établies dans l’Annexe 2 à la Partie 2.
  3. (iii) L’Importateur de données doit mettre à disposition de l’Exportateur de données, sur demande de ce dernier, des informations afin de démontrer la conformité aux obligations de l’Importateur de données en vertu de cette Annexe. Les parties conviennent que cette obligation d’informations est respectée par l’apport à l’Exportateur de données d’un rapport d’audit (couvrant la sécurité des principes, la disponibilité du système et la confidentialité) (« Rapport d’audit »). Si des activités d’audit additionnelles sont requises légalement, l’Exportateur de données peut demander à ce que des inspections soient menées par l’Exportateur de données ou un autre auditeur mandaté par l’Exportateur de données, soumises à l’exécution par cet auditeur d’un accord de confidentialité avec l’Importateur de données à sa satisfaction raisonnable (« Audit sur site »). Cet Audit sur site est soumis aux conditions suivantes : (i) les Audits sur site sont limités dans la mesure où les installations de traitement et le personnel de l’Importateur de données sont impliqués dans les activités de traitement couvertes par cette Annexe ; et (ii) les Audits sur site n’ont pas lieu plus d’une fois par an ou tel que le requiert la loi applicable sur la protection des données ; (iii) ils doivent être exécutés pendant les heures de travail standard, en interrompant uniquement selon le besoin les opérations commerciales de l’Importateur de données et en accord avec les politiques de sécurité de l’Importateur de données, et après au moins quinze (15) jours ouvrés suivant le préavis écrit ; (iv) les audits sont limités à ces parties d’informations et à tout système et technologie séparé logiquement ou entièrement dédié utilisé pour le traitement des Données personnelles de l’Exportateur de données ; et (v) l’Exportateur de données assumera tous les coûts découlant de ou en lien avec l’Audit sur site pour l’Exportateur de données et l’Importateur de données. L’Exportateur de données a l’obligation de créer un rapport d’audit récapitulant les résultats et les observations de l’Audit sur site (« Rapport d’audit sur site »). Les Rapports d’audit sur site, ainsi que les Rapports d’audit, sont des informations confidentielles de l’Importateur de données et ne doivent pas être divulgués à des tiers, sauf si la loi applicable sur la protection des données l’exige ou conformément au consentement de l’Importateur de données. 
  4. (iv) L’Importateur de données a l’obligation d’avertir l’Exportateur de données sans retard excessif :
    1. a. concernant toute demande juridiquement contraignante de divulgation des données personnelles par une autorité d’application de la loi, sauf autre interdiction, comme une interdiction en vertu de la loi criminelle pour protéger la confidentialité d’une enquête d’application de la loi ;
    2. b. concernant toute plainte et demande reçue directement de la part d’un sujet des données (par ex. concernant l’accès, la rectification, la suppression, la restriction du traitement, la portabilité des données, l’objection au traitement des données, la prise de décision automatisée) sans répondre à cette demande, sauf si l’Importateur de données a reçu l’autorisation de le faire ;
    3. c. si l’Importateur de données ou le Sous-traitant en a pris connaissance, il a l’obligation, selon la loi de l’Union européenne ou de l’État membre à laquelle l’Importateur de données ou le Sous-traitant est soumis, de traiter les données personnelles au-delà des instructions de l’Exportateur de données, avant de procéder à ce traitement au-delà de l’instruction, sauf si cette loi de l’Union européenne ou de l’État membre interdit ces informations sur des motifs importants d’intérêt public, auquel cas la notification à l’Exportateur de données devra préciser l’exigence légale en vertu de cette loi de l’Union européenne ou de l’État membre ; ou
    4. d. si l'Importateur de données a connaissance d'une infraction sur des données personnelles, uniquement imputable à lui-même ou à son sous-traitant, qui affecterait les données personnelles de l'Exportateur de données couvertes par le présent CTD, auquel cas l'Importateur de données aidera l'Exportateur de données dans son obligation, vis-à-vis de la loi applicable sur la protection des données, d'informer les personnes concernées et, le cas échéant, les autorités de contrôle en fournissant les informations dont il dispose, conformément à l'Art. 33 (3) du RGPD. 
    5. (v) Sur demande de l'Exportateur de données, l'Importateur de données sera tenu de l'assister dans son obligation de réaliser une évaluation d'impact de la protection des données pouvant être exigée par l'Art. 35 du RGPD et une consultation préalable pouvant être exigée par l'Art. 36 du RGPD concernant les services fournis par l'Importateur de données à l'Exportateur de données au titre de la présente Annexe, en fournissant les informations nécessaires et disponibles à l'Exportateur de données. L'Importateur de données ne sera tenu de fournir cette assistance que dans la mesure où l'Exportateur de données sera dans l’impossibilité d’assumer son obligation par d’autres moyens. L'Importateur de données préviendra l'Exportateur de données du coût de cette assistance. Dès que l'Exportateur de données aura confirmé qu’il peut supporter ce coût, l'Importateur de données lui fournira cette assistance.
    6. (vi) À la fin de la prestation des services, l'Exportateur de données pourra demander le retour des données personnelles traitées par l'Importateur de données au titre de la présente Annexe dans un délai d'un mois après la fin des services. À moins que la législation de l’État membre ou de l'Union Européenne n'exige de l'Importateur de données qu’il stocke ou conserve ces données personnelles, l'Importateur de données supprimera toutes ces données personnelles après le délai d’un mois, qu’elles aient été rendues ou non à l'Exportateur de données à sa demande.

3.3 Droits des personnes concernées

    1. (i) L'Exportateur de données est responsable, en premier, de la gestion des demandes présentées par les personnes concernées et des réponses à y apporter. L'Importateur de données n'est pas obligé de répondre directement aux personnes concernées.
    2. (ii) L'Importateur de données est tenu d'aider l'Exportateur de données par les mesures techniques et organisationnelles appropriées et possibles qui suivent afin de répondre aux demandes d'exercice des droits des personnes concernées exposés comme suit dans le Chapitre III du RGPD : 
    3. a. Concernant les demandes d’informations, l'Importateur de données ne fournira à l'Exportateur de données les informations requises par les Art. 13 et 14 du RGPD dont il pourra disposer que si ce dernier n’est pas en mesure de les trouver seul.
    4. b. Concernant les demandes d'accès (Art. 15 du RGPD), l'Importateur de données ne fournira à l'Exportateur de données les informations censées être fournies à une personne concernée pour ladite demande d'accès, dont il pourra disposer, que si ce dernier n’est pas en mesure de les trouver seul.
    5. c. Concernant les demandes de rectification (Art. 16 du RGPD), les demandes d'effacement(Art. 17 du RGPD), la restriction des demandes de traitement (Art. 18 du RGPD), ou les demandes de portabilité (Art. 20 du RGPD), et seulement si l'Exportateur de données ne peut pas lui-même rectifier ou, selon le cas, effacer, limiter ou transmettre les données personnelles à un autre tiers, l'Importateur de données offrira à l'Exportateur de données la possibilité de rectifier ou, selon le cas, d'effacer, de limiter ou de transmettre les données personnelles concernées à l’autre tiers, ou si cela n’est pas possible, il fournira l'aide nécessaire pour rectifier ou, selon le cas, effacer, limiter ou transmettre à l’autre tiers les données personnelles concernées.]]
    6. d. Concernant la notification relative à la rectification, à l'effacement ou à la restriction de traitement (Art. 19 du RGPD), l'Importateur de données aidera l'Exportateur de données en avisant tous les destinataires de données personnelles engagés par l'Importateur de données comme sous-traitants si l'Exportateur de données le lui demande. 
    7. e. Concernant le droit d'opposition exercé par une personne concernée (Art. 21 et 22 du RGPD) l'Exportateur de données déterminera si l'opposition est légitime et comment la traiter. Si l'Exportateur de données a besoin de l'aide de l'Importateur de données pour traiter l'opposition, il émettra une instruction complémentaire, conformément à la Clause 3.1 (ii) de la Partie 1.
    8. (iii) Les obligations d’assistance de l'Importateur de données sont limitées aux données personnelles traitées dans le cadre de ses infrastructures (par ex., bases de données, systèmes, applications possédées ou fournies par l'Importateur de données).  
    9. (iv) L'Exportateur de données doit déterminer si une personne concernée a le droit ou non d'exercer les droits des personnes concernées présentés dans la Clause 3.1 de cette Partie 1 et doit indiquer à l'Importateur de données dans quelle mesure l'aide spécifiée aux Clauses 3.3 (ii), (iii) de la Partie 1 est nécessaire.
    10. (v) Si l'Exportateur de données demande, pour répondre aux droits des personnes concernées, des mesures techniques et organisationnelles supplémentaires ou modifiées qui vont au-delà de l'assistance fournie par l'Importateur de données selon la Clause 3.3 (ii), (iii) de la Partie 1, ce dernier doit informer l'Exportateur de données des coûts de mise en application de ces mesures techniques et organisationnelles supplémentaires ou modifiées.  Dès que l'Exportateur de données aura confirmé qu’il pourra supporter ces coûts, l'Importateur de données mettra en application ces mesures techniques et organisationnelles supplémentaires ou modifiées afin d'aider l'Exportateur de données à répondre aux demandes des personnes concernées.
    11. (vi) Sans limiter la portée de la Clause 3.3 (v) de la Partie 1, l'Exportateur de données sera obligé de rembourser l'Importateur de données de ses dépenses raisonnables occasionnées par les demandes des personnes concernées.

3.4 Sous-traitance

    1. (i) L'Exportateur de données autorise le recours aux sous-traitants par l'Importateur de données pour la fourniture de services au titre de la présente Annexe. L'Importateur de données choisira ces sous-traitants avec soin. Il restera responsable de tous les actes ou omissions de ses sous-traitants tout comme il le sera de ses propres actes ou omissions au titre des présentes. L'Exportateur de données approuve les sous-traitants mentionnés dans l'Annexe 1.1 en fin de Partie 2.
    2. (ii) L'Importateur de données transfèrera aux sous-traitants ses obligations au titre de la présente Annexe dans la mesure applicable aux services sous-traités. 
    3. (iii) L'Importateur de données peut congédier, remplacer ou nommer à sa discrétion d’autres sous-traitants appropriés et fiables. Si l'Exportateur de données le lui demande par écrit, l'Importateur de données est obligé de suivre la procédure indiquée ci-dessous :
    1. a. L'Importateur de données informera à l’avance l'Exportateur de données de tous les changements apportés à la liste des sous-traitants référencée selon la Clause 3.4 (i) de la Partie 1. Si l'Exportateur de données ne formule pas d'objection en vertu de la Clause 3.4. (b) de la Partie 1 trente jours après avoir reçu la notification de l'Importateur de données, les sous-traitants supplémentaires seront réputés acceptés.
    2. b. Si l'Exportateur de données a une raison légitime de s'opposer à un sous-traitant supplémentaire, il en informera l'Importateur de données par écrit dans les trente jours de la réception de la notification de l'Importateur de données. Si l'Exportateur de données s'oppose à l'utilisation d’un sous-traitant supplémentaire, l'Importateur de données aura le droit de purger l'objection au moyen d'une des options suivantes (à choisir à sa convenance) : (A) l'Importateur de données annulera ses plans d’utilisation d’un sous-traitant supplémentaire concernant les données personnelles de l'Exportateur de données ; (B) l'Importateur de données prendra les mesures correctives réclamées par l'Exportateur de données dans son objection (ce qui annulera ladite objection) et utilisera le sous-traitant supplémentaire concernant les données personnelles de l'Exportateur de données ; (C) l'Importateur de données pourra cesser de fournir ou l'Exportateur de données pourra accepter de ne pas utiliser (temporairement ou de manière permanente) un aspect particulier du service qui impliquerait l'utilisation du sous-traitant supplémentaire concernant les données personnelles de l'Exportateur de données. Si aucune des options ci-dessus n'est raisonnablement disponible et si l'objection n'a pas été traitée dans les trente jours de la réception de l'objection de l'Exportateur de données par l'Importateur de données, l'une ou l'autre partie pourra résilier le service en question par un préavis écrit raisonnable.
    1. (iv) Dans le cas où le sous-traitant serait domicilié en dehors de l'UE-EEE dans un pays qui n'est pas reconnu comme offrant un niveau adéquat de protection des données suite à une décision de la Commission européenne, l'Importateur de données prendra les mesures voulues pour se conformer à un niveau de protection des données adéquat selon le RGPD (de telles mesures pouvant inclure – entre autres et, selon le cas - l'utilisation de contrats de traitement des données basés sur les clauses du Modèle de l'UE, le transfert à des sous-traitants auto-certifiés dans le cadre du Bouclier de protection UE-USA, ou un programme similaire).

3.5 Terme

Le terme de cette Annexe est identique au terme du Contrat correspondant. Sauf disposition contraire de la présente Annexe, les droits et devoirs liés à la résiliation seront identiques à ceux qui figurent dans le Contrat.

4. Limitation de responsabilité

4.1 Chaque partie est responsable de ses obligations qui découlent de cette Annexe et de la législation applicable à la protection des données.

4.2 Toute responsabilité qui surviendrait au titre ou dans le cadre d'une violation des obligations découlant de cette Annexe ou de la législation applicable à la protection des données relèvera des dispositions liées à la responsabilité indiquées dans le Contrat, ou applicables à ce contrat, et sera régie par lui, sauf disposition contraire de la présente Annexe. Si la responsabilité est régie par les dispositions liées à la responsabilité indiquées dans le Contrat ou applicables à ce contrat, aux fins de calculer les plafonds de responsabilité ou de déterminer l'application d'autres limitations de responsabilité, une responsabilité survenant dans le cadre de cette Annexe sera considérée comme survenant dans le cadre du Contrat.

5. Dispositions générales

5.1 Dans la mesure où il existerait des contradictions ou des divergences entre les Parties 1 et 2 de la présente Annexe, les dispositions de la Partie 2 prévaudront. Plus précisément, même dans ce cas, les dispositions de la Partie 1 qui vont simplement au-delà de la Partie 2 (à savoir, les conditions du Clause type) sans la contredire, resteront valides.

5.2 En cas de divergences entre les dispositions de la présente Annexe et celles d'autres contrats liant les parties, les dispositions de la présente Annexe prévaudront concernant les obligations des parties liées à la protection des données. En cas de doute sur le fait de savoir si les clauses d'autres contrats concernent les obligations des parties liées à la protection des données, la présente Annexe prévaudra.

5.3 S’il advient qu’une disposition de la présente Annexe soit invalide ou inapplicable, le reste de la présente Annexe demeurera pleinement valide. La disposition invalide ou inapplicable sera (i) modifiée, au besoin, pour assurer sa validité et son applicabilité, tout en préservant le plus possible l’intention des parties, ou – si ce n'est pas possible – (ii) interprétée comme si la partie invalide ou inapplicable n’avait jamais fait partie du contrat.  Ce qui précède s'appliquera également si la présente Annexe comporte une omission.

5.5 Dans la mesure nécessaire, les Parties sont en droit de demander des modifications de la Partie 1, Clause 3 (Conformité à la législation locale)  ou d'autres parties de l’Annexe, et ce afin de satisfaire aux interprétations, directives ou ordres émis par les autorités compétentes de l'Union ou des États membres, aux dispositions nationales en matière de mise en vigueur, ou à toutes autres évolutions juridiques concernant le RGPD ou autres conditions de délégation à toutes entités affectées au traitement des données en général, et spécifiquement en ce qui concerne l'utilisation des Clauses types dans le cadre du RGPD. Les termes des Clauses types ne peuvent être ni modifiés ni remplacés à moins que la Commission européenne ne l’approuve de façon expresse (par exemple par de nouvelles clauses adéquates et standards de protection des données).

5.6 Toute référence de cette Annexe aux « Clauses » doit être entendu se rapporter à toutes les dispositions de cette Annexe, à moins de toute disposition contraire. 

5.7 Le choix de la loi de la partie 2, clause 9, concerne l’intégralité du Contrat.

6. Données à caractère personnel transmises et traitées par les parties à des fins personnelles (transfert de responsable de traitement à responsable de traitement)

6.1 Les Parties savent parfaitement que certaines données à caractère personnel seront transférées de l'Exportateur des données à l'Importateur et vice-versa, et que ces données sont traitées par chaque partie à ses propres fins. En ce qui concerne ces données à caractère personnel, les autres dispositions de la présente Annexe ne sont pas concernées (à l'exception de cette clause 6).

6.2 L'Exportateur des données peut transférer des données à caractère personnel relatives au personnel de l'Importateur des données, à ce même Importateur, notamment des informations sur les incidents liés à la sécurité, ou tous autres documents ou fichiers créés ou établis par l’Exportateur des données en relation avec les Services fournis par le personnel de l’Importateur des données. L'Importateur des données peut traiter ces données à caractère personnel à ses propres fins, notamment dans le cadre de ses relations professionnelles avec le personnel de l’Importateur des données, dans le cadre du contrôle de la qualité et la formation, ou d’objectifs commerciaux.

6.3. L'Importateur des données peut transférer des données à caractère personnel à l'Exportateur des données, notamment le nom et les coordonnées relatifs au personnel de l’Importateur des données. L’Exportateur des données peut traiter ce type de données à caractère personnel à ses propres fins.

6.4 Les deux parties se conforment à toute loi en vigueur sur la protection des données, notamment le RGPD, lors du recueil, du traitement et de l'utilisation de ces données à caractère personnel reçues de l'autre partie en vertu de la présente clause 1 de la partie 1. Les deux parties doivent en particulier prendre d’adéquates mesures de sécurité, conférant un niveau de protection similaire aux mesures de sûreté énoncées à l'annexe 2 de la partie 2. Tout accès à ces données à caractère personnel doit se limiter au besoin de les connaitre.

6.5 Les deux parties sont tenues de supprimer ces données à caractère personnel dès que possible, une fois les objectifs atteints.

Partie 2

 DÉCISION DE LA COMMISSION 

du 5 février 2010

relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil

Clause première 

Définitions 

Au sens des clauses: 

a) «données à caractère personnel», «catégories particulières de données», «traiter/traitement», «responsable du traitement», «sous-traitant», «personne concernée» et «autorité de contrôle» ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ( 1 ); 

b) l’«exportateur de données» est le responsable du traitement qui transfère les données à caractère personnel; 

c) l’«importateur de données» est le sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour le compte de ce dernier après le transfert conformément à ses instructions et aux termes des présentes clauses et qui n’est pas soumis au mécanisme d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la directive 95/46/CE; d) le «sous-traitant ultérieur» est le sous-traitant engagé par l’importateur de données ou par tout autre sous-traitant ultérieur de celui-ci, qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant ultérieur de celui-ci des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert conformément aux instructions de ce dernier, aux conditions énoncées dans les présentes clauses et selon les termes du contrat de sous-traitance écrit; 

e) le «droit applicable à la protection des données» est la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l’égard du traitement des données à caractère personnel, et s’appliquant à un responsable du traitement dans l’État membre où l’exportateur de données est établi; 

f) les «mesures techniques et d’organisation liées à la sécurité» sont les mesures destinées à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement. 

Clause 2 

Détails du transfert 

Les détails du transfert et, notamment, le cas échéant, les catégories particulières de données à caractère personnel, sont spécifiés dans l’appendice 1 qui fait partie intégrante des présentes clauses. 

Clause 3 

Clause du tiers bénéficiaire 

1. La personne concernée peut faire appliquer contre l’exportateur de données la présente clause, ainsi que la clause 4, points b) à i), la clause 5, points a) à e) et points g) à j), la clause 6, paragraphes 1 et 2, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 en tant que tiers bénéficiaire. 

2. La personne concernée peut faire appliquer contre l’importateur de données la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 dans les cas où l’exportateur de données a matériellement disparu ou a cessé d’exister en droit, à moins que l’ensemble de ses obligations juridiques n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites clauses. 

3. La personne concernée peut faire appliquer contre le sous-traitant ultérieur la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, mais uniquement dans les cas où l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, auquel reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre lequel la personne concernée peut donc faire appliquer lesdites clauses. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses. 4. Les parties ne s’opposent pas à ce que la personne concernée soit représentée par une association ou un autre organisme si elle en exprime le souhait et si le droit national l’autorise. 

Clause 4 Obligations de l’exportateur de données L’exportateur de données accepte et garantit ce qui suit: a) le traitement, y compris le transfert proprement dit des données à caractère personnel, a été et continuera d’être effectué conformément aux dispositions pertinentes du droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi) et n’enfreint pas les dispositions pertinentes dudit État; b) il a chargé, et chargera pendant toute la durée des services de traitement de données à caractère personnel, l’importateur de données de traiter les données à caractère personnel transférées pour le compte exclusif de l’exportateur de données et conformément au droit applicable à la protection des données et aux présentes clauses; 

c) l’importateur de données offrira suffisamment de garanties en ce qui concerne les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 du présent contrat; 

d) après l’évaluation des exigences du droit applicable à la protection des données, les mesures de sécurité sont adéquates pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement et elles assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger, eu égard au niveau technologique et au coût de mise en oeuvre; 

e) il veillera au respect des mesures de sécurité; 

f) si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n’offrant pas un niveau de protection adéquat au sens de la directive 95/46/CE; 

g) il transmettra toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3), à l’autorité de contrôle de la protection des données s’il décide de poursuivre le transfert ou de lever sa suspension; 

h) il mettra à la disposition des personnes concernées, si elles le demandent, une copie des présentes clauses, à l’exception de l’appendice 2, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux présentes clauses, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations; 

i) en cas de sous-traitance ultérieure, l’activité de traitement est effectuée conformément à la clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données conformément aux présentes clauses; et 

j) il veillera au respect de la clause 4, points a) à i). 

Clause 5 

Obligations de l’importateur de données ( 1 ) 

L’importateur de données accepte et garantit ce qui suit: 

a) il traitera les données à caractère personnel pour le compte exclusif de l’exportateur de données et conformément aux instructions de ce dernier et aux présentes clauses; s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, il accepte d’informer dans les meilleurs délais l’exportateur de données de son incapacité, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat; 

b) il n’a aucune raison de croire que la législation le concernant l’empêche de remplir les instructions données par l’exportateur de données et les obligations qui lui incombent conformément au contrat, et si ladite législation fait l’objet d’une modification susceptible d’avoir des conséquences négatives importantes pour les garanties et les obligations offertes par les clauses, il communiquera la modification à l’exportateur de données sans retard après en avoir eu connaissance, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat; c) il a mis en oeuvre les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 avant de traiter les données à caractère personnel transférées;

d) il communiquera sans retard à l’exportateur de données: 

i) toute demande contraignante de divulgation des données à caractère personnel émanant d’une autorité de maintien de l’ordre, sauf disposition contraire, telle qu’une interdiction de caractère pénal visant à préserver le secret d’une enquête policière; 

ii) tout accès fortuit ou non autorisé; et 

iii) toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’il n’ait été autorisé à le faire; 

e) il traitera rapidement et comme il se doit toutes les demandes de renseignements émanant de l’exportateur de données relatives à son traitement des données à caractère personnel qui font l’objet du transfert et se rangera à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées; 

f) à la demande de l’exportateur de données, il soumettra ses moyens de traitement de données à une vérification des activités de traitement couvertes par les présentes clauses qui sera effectuée par l’exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et choisis par l’exportateur de données, le cas échéant, avec l’accord de l’autorité de contrôle; 

g) il mettra à la disposition de la personne concernée, si elle le demande, une copie des présentes clauses, ou tout contrat de sous-traitance ultérieure existant, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations, à l’exception de l’appendice 2, qui sera remplacé par une description sommaire des mesures de sécurité, lorsque la personne concernée n’est pas en mesure d’obtenir une copie de l’exportateur de données; h) en cas de sous-traitance ultérieure, il veillera au préalable à informer l’exportateur de données et à obtenir l’accord écrit de ce dernier; i) les services de traitement fournis par le sous-traitant ultérieur seront conformes à la clause 11; j) il enverra dans les meilleurs délais une copie de tout accord de sous-traitance ultérieure conclu par lui en vertu des présentes clauses à l’exportateur de données. Clause 6 Responsabilité 1. Les parties conviennent que toute personne concernée ayant subi un dommage du fait d’un manquement aux obligations visées à la clause 3 ou à la clause 11 par une des parties ou par un sous-traitant ultérieur a le droit d’obtenir de l’exportateur de données réparation du préjudice subi. 2. Si une personne concernée est empêchée d’intenter l’action en réparation visée au paragraphe 1 contre l’exportateur de données pour manquement par l’importateur de données ou par son sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse déposer une plainte à son encontre comme s’il était l’exportateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, contre laquelle la personne concernée peut alors faire valoir ses droits. L’importateur de données ne peut invoquer un manquement par un sous-traitant ultérieur à ses obligations pour échapper à ses propres responsabilités. 3. Si une personne concernée est empêchée d’intenter l’action visée aux paragraphes 1 et 2 contre l’exportateur de données ou l’importateur de données pour manquement par le sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse déposer une plainte à son encontre en ce qui concerne ses propres activités de traitement conformément aux présentes clauses comme s’il était l’exportateur de données ou l’importateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, contre lequel la personne concernée peut alors faire valoir ses droits. La responsabilité du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses. 

Clause 7 

Médiation et juridiction 

1. L’importateur de données convient que si, en vertu des clauses, la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi, il acceptera la décision de la personne concernée: 

a) de soumettre le litige à la médiation d’une personne indépendante ou, le cas échéant, de l’autorité de contrôle; 

b) de porter le litige devant les tribunaux de l’État membre où l’exportateur de données est établi. 

2. Les parties conviennent que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural ou matériel de cette dernière d’obtenir réparation conformément à d’autres dispositions du droit national ou international. 

Clause 8 

Coopération avec les autorités de contrôle 

1. L’exportateur de données convient de déposer une copie du présent contrat auprès de l’autorité de contrôle si celle-ci l’exige ou si ce dépôt est prévu par le droit applicable à la protection des données. 

2. Les parties conviennent que l’autorité de contrôle a le droit d’effectuer des vérifications chez l’importateur de données et chez tout sous-traitant ultérieur dans la même mesure et dans les mêmes conditions qu’en cas de vérifications opérées chez l’exportateur de données conformément au droit applicable à la protection des données. 

3. L’importateur de données informe l’exportateur de données, dans les meilleurs délais, de l’existence d’une législation le concernant ou concernant tout sous-traitant ultérieur faisant obstacle à ce que des vérifications soient effectuées chez lui ou chez tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l’exportateur de données a le droit de prendre les mesures prévues par la clause 5, point b). 

Clause 9 

Droit applicable 

Les clauses sont régies par le droit de l’État membre où l’exportateur de données est établi, à savoir le droit marocain 

Clause 10 

Modification du contrat 

Les parties s’engagent à ne pas modifier les présentes clauses. Les parties restent libres d’inclure d’autres clauses à caractère commercial qu’elles jugent nécessaires, à condition qu’elles ne contredisent pas les présentes clauses. 

Clause 11 

Sous-traitance ultérieure 

1. L’importateur de données ne sous-traite aucune de ses activités de traitement effectuées pour le compte de l’exportateur de données conformément aux présentes clauses sans l’accord écrit préalable de l’exportateur de données. L’importateur de données ne sous-traite les obligations qui lui incombent conformément aux présentes clauses, avec l’accord de l’exportateur de données, qu’au moyen d’un accord écrit conclu avec le sous-traitant ultérieur, imposant à ce dernier les mêmes obligations que celles qui incombent à l’importateur de données conformément aux présentes clauses ( 1 ). En cas de manquement, par le sous-traitant ultérieur, aux obligations en matière de protection des données qui lui incombent conformément audit accord écrit, l’importateur de données reste pleinement responsable du respect de ces obligations envers l’exportateur de données. 2. Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur prévoit également une clause du tiers bénéficiaire telle qu’énoncée à la clause 3 pour les cas où la personne concernée est empêchée d’intenter l’action en réparation visée à la clause 6, paragraphe 1, contre l’exportateur de données ou l’importateur de données parce que ceux-ci ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, et que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n’a pas été transféré, par contrat ou par effet de la loi, à une autre entité leur ayant succédé. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses. 3. Les dispositions relatives aux aspects de la sous-traitance ultérieure liés à la protection des données du contrat visé au paragraphe 1 sont régies par le droit de l’État membre où l’exportateur de données est établi. 

4. L’exportateur de données tient une liste des accords de sous-traitance ultérieure conclus en vertu des présentes clauses et notifiés par l’importateur de données conformément à la clause 5, point j), qui sera mise à jour au moins une fois par an. Cette liste est mise à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données. 

Clause 12 

Obligation après la résiliation des services de traitement des données à caractère personnel 

1. Les parties conviennent qu’au terme des services de traitement des données, l’importateur de données et le sous-traitant ultérieur restitueront à l’exportateur de données, et à la convenance de celui-ci, l’ensemble des données à caractère personnel transférées ainsi que les copies, ou détruiront l’ensemble de ces données et en apporteront la preuve à l’exportateur de données, à moins que la législation imposée à l’importateur de données ne l’empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confidentialité des données à caractère personnel transférées et qu’il ne traitera plus activement ces données. 

2. L’importateur de données et le sous-traitant ultérieur garantissent que si l’exportateur de données et/ou l’autorité de contrôle le demandent, ils soumettront leurs moyens de traitement de données à une vérification des mesures visées au paragraphe 1. 

Annexe 1.1 de la partie 2

Détails du transfert

Exportateur des données

L'Exportateur des données est le Client défini au Contrat.

Importateur des données

L'Importateur des données est IQUALIF et est affecté au traitement des données, prestant les services à l'Exportateur des données.

Sujets des données

Les données à caractère personnel transférées, concernent les catégories suivantes de personnes concernées :

☒ les abonnées téléphoniques inscrits sur l’annuaire universel

D'autres, notamment :

Catégories de données

Les données à caractère personnel transférées, concernent les catégories suivantes de données :

Catégories de données à caractère personnel des personnes concernées de l'Exportateur des données, en particulier,

☒ Nom complet

☒ Adresse postale

☒ Coordonnées (e-mail, téléphone, adresse IP, etc.)

☒ Détails sur les activités de marketing concernant l’abonné téléphonique

D'autres, notamment :

Catégories spéciales de données (le cas échéant)

Les données à caractère personnel transférées, concernent les catégories spéciales suivantes de données :

☒ Le transfert de catégories spéciales de données n'est pas prévu

Race ou origine ethnique

Croyances religieuses ou philosophiques

Adhésion syndicale

Opinions politiques

Renseignements génétiques 

Renseignements biométriques

Informations sur l'orientation sexuelle ou la vie sexuelle

Données concernant la santé

Activités de traitement

Les données à caractère personnel transférées seront soumises aux activités élémentaires de traitement suivantes :

    • Objet du traitement

Le traitement entrepris pour le compte de l'Exportateur de données s’articule autour des sujets suivants, en particulier :

☒ Prise en charge des produits ou services proposés par l’Exportateur des données

☒ Offre d'un produit ou d'un service que la personne appelée peut demander

☒ Commandes prises auprès des personnes appelées et traitement ultérieur de ces commandes

☒Questionnaires d'études et analyses

☒ Télémarketing

Autres, notamment :

    • Nature et but du traitement

L'Importateur des données traite les données à caractère personnel des personnes concernées au nom de l'Exportateur des données, afin de fournir les services suivants, et en particulier :

☒ Ventes et marketing

Autres, notamment :

    • Fourniture des services et emploi de prestataires de services

IQUALIF combine, centralise et fournit principalement les services à l'Exportateur des données. Les services prestés par le fournisseur de services nommé, peuvent s’articuler (entre autres et selon le cas) autour des services auxiliaires suivants : (i) fourniture d'applications, d'outils, de systèmes et d'une infrastructure informatique en relation avec les centres de traitement des données utilisés, cela afin de fournir et d’appuyer les services, notamment le traitement des données à caractère personnel des personnes concernées telles que décrites ci-dessus, via ce type d’applications, d’outils et de systèmes ; (ii) apport d’une assistance informatique, de la maintenance et d'autres services concernant ces applications, outils, systèmes et infrastructure informatique, notamment un accès potentiel aux données à caractère personnel stockées dans ces applications, outils et systèmes ; et (iii) prestation de services de protection des données, de surveillance de la protection et de services d’intervention en cas d’incidents, notamment un accès potentiel aux données à caractère personnel lors de la prestation de ce type de services de protection. IQUALIF peut engager des sous-traitants comme indiqué ci-dessous, afin de prester les services, et notamment les services auxiliaires.

    • Fournisseurs de services tiers externes en tant que sous-entités affectées aux traitement des données

IQUALIF engage des fournisseurs de services externes et tiers, qui ne sont pas des filiales d’IQUALIF, et ce afin d’appuyer la fourniture des services à l'Exportateur des données. L’Exportateur des données approuve ce type de fournisseurs de services tiers externes en tant que sous-entités affectées aux traitement des données

Si une sous-entité affectée au traitement des données se trouve en dehors de l'UE / EEE, dans un pays réputé ne pas disposer d’un niveau adéquat de protection des données conformément à une décision de la Commission européenne, l'Importateur des données prendra des mesures afin d’obtenir un niveau suffisant de protection des données conformément au RGPD, ainsi qu’à la section 3,4 (iv) de la partie 1.

Annexe 2, partie 2

Mesures de protection techniques et organisationnelles

L'Importateur des données prend les mesures de protection technique et organisationnelle suivantes, le cas échéant confirmées par l'Exportateur des données, afin de garantir un niveau de sécurité approprié des droits et libertés des personnes, et cela en fonction des risques. En évaluant le niveau de protection concerné, l'Exportateur des données a tenu compte notamment des risques s’articulant autour du traitement, notamment la destruction accidentelle ou illicite, la modification, la divulgation interdire ou l'accès aux données à caractère personnel transmises, stockées ou traitées d’une quelle autre façon que ce soit. À titre de clarification : Ces mesures de protection technique et organisationnelle ne concernent pas les applications, outils, systèmes et / ou infrastructures informatiques fournis par l'Exportateur des données.

1 Mesures générales de protection techniques et organisationnelles

1.1 Stratégies générales de protection des informations et des données

Les mesures suivantes doivent être prises afin de suivre les stratégies générales de protection des données et informations :

  • a) prendre des mesures visant à évaluer celles prises en matière de protection technique et organisationnelle ;
  • b) dispenser une formation afin de sensibiliser les employés ;
  • c) disposer d'une description des systèmes concernés et accorder un accès aux employés ;
  • d) mettre en place un processus officiel de documentation, à chaque fois que des systèmes sont implémentés ou modifiés ;
  • e) documentation de la structure organisationnelle, des processus, des responsabilités et des évaluations respectives ;

1.2 Organisation de la protection des informations

Les mesures suivantes doivent être prises afin de coordonner les activités de protection des données et informations :

  • a) responsabilités définies en matière de protection des informations et données (par exemple, par le biais de la politique de gestion de la protection des données) ;
  • b) compétences nécessaires en matière de protection des informations et des données demeurant disponibles ;
  • c) tous les employés se sont engagés à faire en sorte de tenir les données à caractère personnel confidentielles, et ont été informés des conséquences potentielles en cas de violation de cet engagement.

1.3 Contrôle de l'accès aux zones de traitement 

Les mesures suivantes doivent être prises afin d’empêcher les personnes non autorisées d'accéder aux systèmes de traitement des données (notamment aux logiciels et au matériel) lorsque les données à caractère personnel sont traitées, stockées ou transmises : 

  • a) établir des zones sécurisées ;
  • b) protéger et restreindre l'accès aux systèmes de traitement des données ; 
  • c) établir des autorisations d'accès aux employés et tiers, notamment les documents respectifs ;
  • d) tout accès aux centres de traitement des données dans lesquels des données à caractère personnel sont hébergées, sera consigné.

1.4 Contrôle de l'accès aux systèmes de traitement des données 

Les mesures suivantes doivent être prises afin d’empêcher tout accès interdit aux systèmes de traitement des données: 

  • a) politiques et procédures d'authentification des utilisateurs ; 
  • b) utiliser des mots de passe sur tous les systèmes informatiques ;
  • c) l'accès à distance au réseau nécessite une authentification en plusieurs facteurs, et est accordé au personnel concerné en fonction des responsabilités, et sur autorisation ;
  • d) l'accès à des fonctions spécifiques repose sur des fonctions professionnelles et / ou attributs assignés individuellement au compte d'un utilisateur ;
  • e) les droits d'accès liés aux données à caractère personnel sont revus régulièrement ;
  • f) tenir à jour les dossiers des modifications apportées aux droits d'accès.

1.4 Contrôle de l'accès à des zones particulières d’utilisation des systèmes de traitement des données 

Les mesures suivantes doivent être prises afin que les personnes autorisées ayant le droit d’utiliser le système de traitement des données, puissent n’accéder qu’aux données relevant de leurs responsabilités et autorisations d'accès respectives, et afin que les données à caractère personnel ne puissent pas être lues, copiées, modifiées ou supprimées sans autorisation: 

    1. a) des politiques, instructions et la formation des employés, concernant les obligations de chacun d’eux en matière de confidentialité, de droits d'accès aux données à caractère personnel et de la portée du traitement des données à caractère personnel; 
  • b) des mesures disciplinaires à l'encontre des personnes accédant à des données à caractère personnel sans autorisation ; 
  • c) l'accès aux données à caractère personnel ne sera accordé qu’aux personnes autorisées, et cela en fonction de leur besoin de les connaitre ; 
  • d) tenir une liste des administrateurs système, et prendre les mesures concernées visant à surveiller les administrateurs système ;
  • e) ne pas copier ni reproduire des données à caractère personnel sur tous systèmes de stockage, afin de permettre à des personnes non autorisées de supprimer les informations de leur auteur ;
  • f) effacement contrôlé et documenté ou destruction des données ; 
  • g) stocker en toute sécurité toutes les données à caractère personnel devant être conservées pour des raisons légales ou réglementaires (par exemple, obligations de conserver des données), et seulement aussi longtemps que la loi l’exige.

1.6 Contrôle des transmissions 

Les mesures suivantes doivent être prises afin d’empêcher que les données à caractère personnel soient lues, copiées, modifiées ou supprimées par des tiers non autorisés, lors de la transmission ou du transport des appareils de stockage des données (en fonction du traitement entrepris des données à caractère personnel) : 

    1. a) utilisation de pare-feux ; 
  • b) éviter le stockage de données à caractère personnel sur des appareils de stockage mobiles, à des fins de transport,
  • c) Ne les utiliser sur des ordinateurs portables et autres appareils mobiles qu’une fois la protection par chiffrage enclenchée ;
  • d) consignation des transmissions des données à caractère personnel.

1.7 Contrôle de la saisie 

Les mesures suivantes doivent être prises afin de s'assurer qu'il soit possible de vérifier et de déterminer si des données à caractère personnel ont été saisies dans les systèmes de traitement de données ou supprimées, et qui s’en est chargé : 

    1. a) une politique d'autorisation de lecture, d'altération et de suppression des données stockées ;
  • b) mesures de protection concernant la lecture, l'altération et la suppression des données stockées.

1.8 Contrôle du travail 

Dans le cas d'un traitement délégué de données à caractère personnel, les mesures suivantes doivent être prises afin de garantir que ces données soient traitées conformément aux instructions du contrôleur :

    1. a) des entités ou sous-entités affectées au traitement des données, choisies avec méticulosité (prestataires de services traitant des données à caractère personnel pour le compte du contrôleur);
  • b) des instructions concernant la portée de tout traitement des données à caractère personnel aux employés, aux entités ou sous-entités affectées au traitement des données ;
  • c) les droits d'audit convenus avec les entités ou sous-entités affectées au traitement des données
  • d) accords en place avec les entités ou sous-entités affectées au traitement des données.

1,9 Séparation du traitement à d’autres fins 

Les mesures suivantes doivent être prises afin de garantir que les données collectées à d’autres fins puissent être traitées séparément : 

    1. a) séparer l'accès aux données à caractère personnel conformément aux droits en vigueur des utilisateurs ; 
  • b) les interfaces, les traitements par lots et les rapports sont destinés à d’autres objectifs et fonctions, afin que les données collectées à d’autres fins puissent être traitées séparément.

1.10 Pseudonymisation 

Les mesures suivantes doivent être prises concernant la pseudonymisation des données à caractère personnel :

    1. a) Si l’Exportateur de données ordonne un traitement spécifique ou si cela est considéré approprié par l'importateur de données, et ce conformément aux lois en vigueur en matière de protection des données concernant certaines activités de traitement, le traitement des données à caractère personnel sera effectué afin que les données ne puissent plus être attribuées à un personne spécifique sans l'utilisation d'informations supplémentaires. Ces informations supplémentaires seront conservées séparément ;
  • b) utilisation de techniques de pseudonymisation, notamment la randomisation à liste d'allocation ; création de valeurs sous forme de dièses.

1,11 Cryptage

Les mesures suivantes doivent être prises afin de chiffrer les données à caractère personnel dans le cadre d’applications et de transmissions prenant en charge le cryptage :

    1. a) utilisation de techniques de cryptage ;
  • b) instauration de la gestion du cryptage afin d’appuyer les techniques afférentes autorisées à employer ;
  • c) soutenir l'utilisation de la cryptographie grâce à des procédures et des protocoles de génération, à la modification, la révocation, la destruction, la distribution, la certification, le stockage, la saisie, l'utilisation et l'archivage des clés cryptographiques à titre de protection contre la modification et la divulgation interdites.

1.12 Intégralité des systèmes de traitement des données et des services 

Les mesures suivantes doivent être prises afin de garantir l’intégralité des systèmes de traitement des données et des services :

  1. a) protection des systèmes de traitement des données contre la manipulation ou la destruction, et cela grâce à des moyens appropriés (ex. logiciel anti-virus, logiciel de prévention des pertes de données et logiciels contre les malware, correctifs logiciels, pare-feu et protection gérée des ordinateurs de bureau) ;
  • b) interdire l'installation de tout service ou logiciel nuisible aux systèmes de traitement des données, aux services ou à la manipulation de données à caractère personnel ;
  • c) utilisation d'un système de détection et de prévention d'intrusion dans le réseau dans la structure du réseau lui-même.

1,14 Disponibilité des systèmes de traitement des données et des services, ainsi que possibilité de rétablir l’accès et l’utilisation des données à caractère personnel en cas d'incident matériel ou technique

Les mesures suivantes doivent être prises afin de garantir la disponibilité des systèmes de traitement des données, ainsi que de pouvoir rétablir rapidement la disponibilité des données à caractère personnel et leur accès, en cas d'incident matériel ou technique (notamment en s’assurant que les données à caractère personnel soient protégées contre toute destruction ou perte accidentelle):

  • a) disposer de moyens de contrôle visant à conserver des copies de sauvegarde, et à restaurer les données perdues ou effacées ;
  • b) redondance infrastructurelle et tests de bon fonctionnement ;
  • c) protection matérielle des ressources informatiques ;
  • d) utilisation d'outils afin de surveiller l’état et la disponibilité du réseau interne ;
  • e) rapports sur les incidents et politiques d'intervention régissant la procédure de gestion des incidents, et réitération de l’adhésion à ces politiques dans le cadre de la formation régulière ;
  • f) sauvegardes (parfois hors site) permettant de restaurer le système et lui permettre ainsi de remplir ses fonctions de nouveau ;
  • g) plans de continuité des activités / de reprise après sinistre.

1.12 Résilience des systèmes de traitement des données et des services 

Les mesures suivantes doivent être prises afin de garantir la résilience des systèmes de traitement des données et des services :

  • a) systèmes et configurés de manière harmonieuse, grâce à des paramètres de sécurité approuvés ;
  • b) redondance du réseau ;
  • c) protection par confinement des systèmes critiques.

1,16 Procédure permettant de tester, d’évaluer et de juger régulièrement de l'efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement des données

Procédure permettant de tester, d’évaluer et de juger régulièrement de l'efficacité des mesures techniques et organisationnelles visant à protéger le traitement des données

  • a) prendre les mesures nécessaires afin d’évaluer les risques et les stratégies d'atténuation ;
  • b) réunions d'analyse de service du département Informatique afin de traiter des problèmes actuels ;
  • a) les plans de continuité des activités / de reprise après sinistre sont régulièrement actualisés.

2 Mesures de sécurité techniques et organisationnelles concernant les systèmes / applications / activités de traitement particuliers

Traitement de catégories spéciales de données à caractère personnel

Les mesures suivantes doivent être prises si des catégories particulières de données à caractère personnel sont traitées :

  • a) l'identification d’appareils de stockage doit être entreprise grâce à des procédures intelligibles et significatives, permettant aux utilisateurs disposant d’un accès autorisé, d'identifier leur contenu et de rendre l'identification difficile pour les personnes restantes ;
  • b) les journaux d'accès aux fichiers contenant des catégories particulières de données personnelles, indiquent l'utilisateur.