Annexe traitement des données

La présente Annexe fait partie intégrante du Contrat et est conclu par et entre : 

  1. (i) Le Client (« Exportateur de données ») ; et
  2. (ii) IQUALIF (« Importateur de données »),

chacune étant une « Partie » et communément les « Parties ».

Préambule

ÉTANT DONNÉ QUE l’Importateur de données fournit des services logiciels professionnels, des services informatiques et assimilés (comme des Navigateurs avec fonctions de recherches avancées) ;

ÉTANT DONNÉ QUE, en vertu du Contrat, l’Importateur de données a accepté de fournir à l’Exportateur de données les services précisés dans le Contrat (les « Services ») ;

ÉTANT DONNÉ QUE, en fournissant les Services, l’Importateur de données reçoit ou bénéficie d’un accès aux informations de l’Exportateur de données ou aux informations d’autres personnes possédant une relation (potentielle) avec l’Exportateur de données, ces informations pouvant être qualifiées en tant que données personnelles selon la signification de la Réglementation (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques concernant le traitement des données personnelles et la libre circulation de ces données (« RGPD ») et d’autres lois de protection des données applicables ;

ÉTANT DONNÉ QUE cette Annexe contient les conditions générales applicables à la collecte, au traitement et à l’utilisation de ces données personnelles par l’Importateur de données en tant qu’agent de traitement des données autorisé de l’Exportateur de données, dans le but de s’assurer que les parties respectent la loi applicable sur la protection des données.

DÉSORMAIS, et afin de permettre aux Parties de poursuivre leur relation d’une manière conforme à la loi, les Parties ont conclu cette Annexe comme suit :

Partie 1

1. Structure du document et définitions

1.1 Structure

Cette Annexe se compose de différentes parties, comme suit :

Partie 1 :

contient les dispositions générales, par exemple concernant les définitions utilisées dans la présente Annexe, la conformité aux lois locales, l’échéance et la résiliation ;

Partie 2 :

contient le corps du document non modifié des Clauses types ;

Annexe 1.1 et suivant la Partie 2 :

contient les détails sur les opérations de traitement fournies par l’Importateur de données à l’Exportateur de données en tant qu’agent de traitement des données autorisé (comprenant le sujet du traitement, la nature et l’objectif du traitement, le type de données personnelles et les catégories de sujets de données) en vertu de la présente Annexe ;

Annexe 2 de la Partie 2 :

contient une description des mesures de sécurité techniques et organisationnelles de l’Importateur de données, qui sont appliquées de manière cohérente en lien avec toutes les activités de traitement décrites dans l’Annexe 1.1 et suivant la Partie 2 ;

Partie 3 :

contient les signatures des Parties qui déclarent être liées par cette Annexe et identifie chaque Importateur de données.

1.2 Terminologie et définitions

Aux fins de cette Annexe, la terminologie et les définitions utilisées par le RGPD sont applicables (également dans le corps du document de Clauses types dans la Partie 2, où les termes définis ne portent pas de majuscule). En plus de cela, 

« État membre"

désigne un pays appartenant à l’Union européenne ou à l’Espace économique européen ;

« Catégories spéciales de données (personnelles) »

se rapporte aux données personnelles dévoilant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l’appartenance à un syndicat, et les données génétiques, les données biométriques si elles sont traitées aux fins d’identifier de manière unique une personne physique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne ;

« Clauses types »

désigne les Clauses contractuelles types pour le transfert des données personnelles d’agents de traitement établis dans des pays tiers, conformément à la Décision de la Commission 2010/87/UE du 5 février 2010, qui a été modifiée par la Décision d’exécution de la Commission (UE) 2016/2297 du 16 décembre 2016 ;

« Sous-traitant »

désigne tout agent de traitement, situé à l’intérieur ou à l’extérieur de l’UE/EEE, qui accepte de recevoir de la part de l’Importateur de données ou de tout autre sous-traitant de l’Importateur de données, des données personnelles aux fins exclusives de traiter des activités à effectuer de la part de l’Exportateur de données après le transfert en accord avec les instructions de l’Exportateur de données, avec les conditions de cette Annexe et le Contrat avec l’Importateur de données.

2. Obligations de l’Exportateur de données

2.1 L’Exportateur de données a l’obligation d’assurer la conformité à toutes les obligations applicables en vertu du RGPD et à toute autre loi applicable sur la protection des données qui s’applique à l’Exportateur de données, ainsi que de démontrer cette conformité tel que l’exige l’Art. 5 (2) du RGPD. L’Exportateur de données garantit à l’Importateur de données avoir préalablement obtenu le consentement des personnes concernées conformément à l’article 6 (a) du RGPD et avoir respecté son obligation d’information des personnes concernées conformément aux articles 13 et 14 du RGPD.

2.2 L’Exportateur de données a l’obligation de fournir à l’Importateur de données les dossiers respectifs des activités de traitement selon l’Art. 30 (1) du RGPD lié aux Services en vertu de cette Annexe, dans la mesure nécessaire pour que l’Importateur de données respecte l’obligation en vertu de l’Art. 30 (2) du RGPD. 

2.3 L’Exportateur de données doit désigner un agent ou un représentant de protection des données, dans la mesure requise par la loi applicable sur la protection des données. L’Exportateur de données a l’obligation de fournir les coordonnées de l’agent ou du représentant de protection des données, le cas échéant, à l’Importateur de données. 

2.4. L’Exportateur de données confirme avant la réalisation du traitement, par acceptation de la présente Annexe, que les mesures de sécurité technique et organisationnelle de l’Importateur de données, telles que définies dans l’Annexe 2 à la Partie 2, sont appropriées et suffisantes pour protéger les droits du sujet des données et confirme que l’Importateur de données fournit des garanties suffisantes à cet égard.

3. Conformité à la loi locale

Afin de satisfaire aux exigences de la mise en œuvre des agents de traitement suite à l’Art. 28 du RGPD, les amendements suivants sont applicables :

3.1 Instructions

  1. (i) L’Exportateur de données donne à l’Importateur de données l’instruction de traiter les données personnelles uniquement de la part de l’Exportateur de données. Les instructions de l’Exportateur de données sont fournies dans cette Annexe et dans le Contrat. L’Exportateur de données a l’obligation de s’assurer que toutes les instructions données à l’Importateur de données sont conformes aux lois applicables sur la protection des données. L’Importateur de données a l’obligation de traiter les données personnelles uniquement en accord avec les instructions fournies par l’Exportateur de données, sauf exigence contraire par l’Union européenne ou la loi de l’État membre (dans ce dernier cas, la Partie 1 Clause 3.2 (iv) (c) s’applique).
  2. (ii) Toutes les autres instructions allant au-delà des instructions contenues dans cette Annexe ou dans le Contrat doivent être comprises dans le sujet de cette Annexe et du Contrat. Si la mise en œuvre de cette instruction additionnelle occasionne des coûts pour l’Importateur de données, ce dernier informera l’Exportateur de données de ces coûts et en fournira une explication avant de mettre en œuvre l’instruction. Ce n’est qu’après que l’Exportateur de données a confirmé l’acceptation de ces frais pour la mise en place de l’instruction que l’Importateur de données doit mettre en œuvre cette instruction supplémentaire. L’Exportateur de données doit donner des instructions supplémentaires généralement par écrit, sauf si l’urgence ou d’autres circonstances spécifiques requièrent une autre forme (par ex. orale, électronique). Les instructions sous une autre forme que l’écrit doivent être confirmées par écrit et sans délai par l’Exportateur de données.
  1. 1. Sauf si l’Exportateur de données ne peut pas effectuer la rectification, l’effacement ou la restriction des données personnelles par lui-même, les instructions peuvent également être liées à la rectification, à l’effacement et/ou à la restriction des données personnelles telles qu’établies dans la Partie 1 Clause 3.3. 
  2. 2. L’Importateur de données doit immédiatement informer l’Exportateur de données si, selon lui, une instruction enfreint le RGPD ou d’autres dispositions de protection des données applicables de l’Union européenne ou d’un État membre (« Instruction contestée »). Si l’Importateur de données estime qu’une instruction enfreint le RGPD ou d’autres dispositions de protection des données applicables de l’Union européenne ou d’un État membre, l’Importateur de données n’est pas obligé de suivre l’Instruction contestée. Si l’Exportateur de données confirme l’Instruction contestée à réception des informations de l’Importateur de données et reconnaît sa responsabilité envers l’Instruction contestée, l’Importateur de données mettra en œuvre cette Instruction contestée, sauf si cette dernière se rapporte (i) à la mise en œuvre de mesures techniques et organisationnelles, (ii) aux droits des objets des données ou (iii) à l’engagement de Sous-traitants. Dans les cas (i) à (iii), l’Importateur de données peut contacter une autorité de supervision compétente pour faire évaluer légalement par celle-ci l’Instruction contestée. Si l’autorité de supervision déclare que l’Instruction contestée est légale, l’Importateur de données doit appliquer l’Instruction contestée. La Partie 1 Clause 3.1 (ii) reste applicable.

3.2 Obligations de l’Importateur de données

  1. (i) L’Importateur de données est obligé d’assurer que les personnes autorisées par l’Importateur de données à traiter les données personnelles de la part de l’Exportateur de données, en particulier les employés de l’Importateur de données ainsi que les employés de tout Sous-traitant, se sont engagées à respecter la confidentialité ou sont soumises à une obligation de confidentialité statutaire appropriée, et que ces personnes qui ont accès aux données personnelles les traitent en conformité avec les instructions de l’Exportateur de données.
  2. (ii) L’Importateur de données est obligé de mettre en œuvre les mesures de sécurité techniques et organisationnelles telles qu’établies dans l’Annexe 2 à la Partie 2 avant de traiter les données personnelles de la part de l’Exportateur de données. L’Importateur de données peut modifier les mesures de sécurité techniques et organisationnelles de temps à autre, si ces dernières n’offrent pas une protection inférieure à celles établies dans l’Annexe 2 à la Partie 2.
  3. (iii) L’Importateur de données doit mettre à disposition de l’Exportateur de données, sur demande de ce dernier, des informations afin de démontrer la conformité aux obligations de l’Importateur de données en vertu de cette Annexe. Les parties conviennent que cette obligation d’informations est respectée par l’apport à l’Exportateur de données d’un rapport d’audit (couvrant la sécurité des principes, la disponibilité du système et la confidentialité) (« Rapport d’audit »). Si des activités d’audit additionnelles sont requises légalement, l’Exportateur de données peut demander à ce que des inspections soient menées par l’Exportateur de données ou un autre auditeur mandaté par l’Exportateur de données, soumises à l’exécution par cet auditeur d’un accord de confidentialité avec l’Importateur de données à sa satisfaction raisonnable (« Audit »). Cet Audit est soumis aux conditions suivantes : (i) l’acceptation formelle écrit préalable de l’Importateur de données ; et (ii) l’Exportateur de données assumera tous les coûts découlant de ou en lien avec l’Audit sur site pour l’Exportateur de données et l’Importateur de données. L’Exportateur de données a l’obligation de créer un rapport d’audit récapitulant les résultats et les observations de l’Audit sur site (« Rapport d’audit sur site »). Les Rapports d’audit sur site, ainsi que les Rapports d’audit, sont des informations confidentielles de l’Importateur de données et ne doivent pas être divulgués à des tiers, sauf si la loi applicable sur la protection des données l’exige ou conformément au consentement de l’Importateur de données. 
  4. (iv) L’Importateur de données a l’obligation d’avertir l’Exportateur de données sans retard excessif :
    1. a. concernant toute demande juridiquement contraignante de divulgation des données personnelles par une autorité d’application de la loi, sauf autre interdiction, comme une interdiction en vertu de la loi criminelle pour protéger la confidentialité d’une enquête d’application de la loi ;
    2. b. concernant toute plainte et demande reçue directement de la part d’un sujet des données (par ex. concernant l’accès, la rectification, la suppression, la restriction du traitement, la portabilité des données, l’objection au traitement des données, la prise de décision automatisée) sans répondre à cette demande, sauf si l’Importateur de données a reçu l’autorisation de le faire ;
    3. c. s’il a l’obligation, selon la loi de l’Union européenne ou de l’État membre à laquelle l’Importateur de données ou le Sous-traitant est soumis, de traiter les données personnelles au-delà des instructions de l’Exportateur de données, avant de procéder à ce traitement au-delà de l’instruction, sauf si cette loi de l’Union européenne ou de l’État membre interdit ces informations sur des motifs importants d’intérêt public, auquel cas la notification à l’Exportateur de données devra préciser l’exigence légale en vertu de cette loi de l’Union européenne ou de l’État membre ; ou
    4. d. si l'Importateur de données a connaissance d'une infraction sur des données personnelles, uniquement imputable à lui-même ou à son sous-traitant, qui affecterait les données personnelles de l'Exportateur de données couvertes par le présent contrat, auquel cas l'Importateur de données aidera l'Exportateur de données dans son obligation, vis-à-vis de la loi applicable sur la protection des données, d'informer les personnes concernées et, le cas échéant, les autorités de contrôle en fournissant les informations dont il dispose, conformément à l'Art. 33 (3) du RGPD. 
    5. (v) Sur demande de l'Exportateur de données, l'Importateur de données sera tenu de l'assister dans son obligation de réaliser une évaluation d'impact de la protection des données pouvant être exigée par l'Art. 35 du RGPD et une consultation préalable pouvant être exigée par l'Art. 36 du RGPD concernant les services fournis par l'Importateur de données à l'Exportateur de données au titre de la présente Annexe, en fournissant les informations nécessaires et disponibles à l'Exportateur de données. L'Importateur de données ne sera tenu de fournir cette assistance que dans la mesure où l'Exportateur de données sera dans l’impossibilité d’assumer son obligation par d’autres moyens. L'Importateur de données préviendra l'Exportateur de données du coût de cette assistance. Dès que l'Exportateur de données aura confirmé qu’il peut supporter ce coût, l'Importateur de données lui fournira cette assistance.
    6. (vi) À la fin de la prestation des services, l'Exportateur de données pourra demander le retour des données personnelles traitées par l'Importateur de données au titre de la présente Annexe dans un délai d'un mois après la fin des services. À moins que la législation de l’État membre ou de l'Union Européenne n'exige de l'Importateur de données qu’il stocke ou conserve ces données personnelles, l'Importateur de données supprimera toutes ces données personnelles ou non personnelles après le délai d’un mois, qu’elles aient été rendues ou non à l'Exportateur de données à sa demande.

3.3 Droits des personnes concernées

    1. (i) L'Exportateur de données est responsable, en premier, de la gestion des demandes présentées par les personnes concernées et des réponses à y apporter. L'Importateur de données n'est pas obligé de répondre directement aux personnes concernées. 
    2. (ii) Si l'Exportateur de données a besoin de l'aide de l'Importateur de données pour traiter les demandes présentées par les personnes concernées et des réponses à y apporter, il émettra une instruction complémentaire, conformément à la Clause 3.1 (ii) de la Partie 1. L'Importateur de données aidera l'Exportateur de données par les mesures techniques et organisationnelles appropriées et possibles qui suivent afin de répondre aux demandes d'exercice des droits des personnes concernées exposés comme suit dans le Chapitre III du RGPD : 
    3. a. Concernant les demandes d’informations, l'Importateur de données ne fournira à l'Exportateur de données les informations requises par les Art. 13 et 14 du RGPD dont il pourra disposer que si ce dernier n’est pas en mesure de les trouver seul.
    4. b. Concernant les demandes d'accès (Art. 15 du RGPD), l'Importateur de données ne fournira à l'Exportateur de données les informations censées être fournies à une personne concernée pour ladite demande d'accès, dont il pourra disposer, que si ce dernier n’est pas en mesure de les trouver seul.
    5. c. Concernant les demandes de rectification (Art. 16 du RGPD), les demandes d'effacement(Art. 17 du RGPD), la restriction des demandes de traitement (Art. 18 du RGPD), ou les demandes de portabilité (Art. 20 du RGPD), et seulement si l'Exportateur de données ne peut pas lui-même rectifier ou, selon le cas, effacer, limiter ou transmettre les données personnelles à un autre tiers, l'Importateur de données offrira à l'Exportateur de données la possibilité de rectifier ou, selon le cas, d'effacer, de limiter ou de transmettre les données personnelles concernées à l’autre tiers, ou si cela n’est pas possible, il fournira l'aide nécessaire pour rectifier ou, selon le cas, effacer, limiter ou transmettre à l’autre tiers les données personnelles concernées.
    6. d. Concernant la notification relative à la rectification, à l'effacement ou à la restriction de traitement (Art. 19 du RGPD), l'Importateur de données aidera l'Exportateur de données en avisant tous les destinataires de données personnelles engagés par l'Importateur de données comme sous-traitants si l'Exportateur de données le lui demande et si l’Exportateur de données n’est pas en mesure d’y remédier seul. 
    7. e. Concernant le droit d'opposition exercé par une personne concernée (Art. 21 et 22 du RGPD) l'Exportateur de données déterminera si l'opposition est légitime et comment la traiter.
    8. (iii) Les obligations d’assistance de l'Importateur de données sont limitées aux données personnelles traitées dans le cadre de ses infrastructures (par ex., bases de données, systèmes, applications possédées ou fournies par l'Importateur de données).  
    9. (iv) L'Exportateur de données doit déterminer si une personne concernée a le droit ou non d'exercer les droits des personnes concernées présentés dans la Clause 3.1 de cette Partie 1 et doit indiquer à l'Importateur de données dans quelle mesure l'aide spécifiée aux Clauses 3.3 (ii), (iii) de la Partie 1 est nécessaire.
    10. (v) Si l'Exportateur de données demande, pour répondre aux droits des personnes concernées, des mesures techniques et organisationnelles supplémentaires ou modifiées qui vont au-delà de l'assistance fournie par l'Importateur de données selon la Clause 3.3 (ii), (iii) de la Partie 1, ce dernier doit informer l'Exportateur de données des coûts de mise en application de ces mesures techniques et organisationnelles supplémentaires ou modifiées.  Dès que l'Exportateur de données aura confirmé qu’il pourra supporter ces coûts, l'Importateur de données mettra en application ces mesures techniques et organisationnelles supplémentaires ou modifiées afin d'aider l'Exportateur de données à répondre aux demandes des personnes concernées.
    11. (vi) Sans limiter la portée de la Clause 3.3 (v) de la Partie 1, l'Exportateur de données sera obligé de rembourser l'Importateur de données de ses dépenses raisonnables occasionnées par les demandes des personnes concernées.

3.4 Sous-traitance

    1. (i) L'Exportateur de données autorise le recours aux sous-traitants par l'Importateur de données pour la fourniture de services au titre de la présente Annexe. L'Importateur de données choisira ces sous-traitants avec soin. L'Exportateur de données approuve les sous-traitants mentionnés dans l'Annexe 1.1 en fin de Partie 2.
    2. (ii) L'Importateur de données transfèrera aux sous-traitants ses obligations au titre de la présente Annexe dans la mesure applicable aux services sous-traités. 
    3. (iii) L'Importateur de données peut congédier, remplacer ou nommer à sa discrétion d’autres sous-traitants appropriés et fiables. Si l'Exportateur de données le lui demande par écrit, l'Importateur de données est obligé de suivre la procédure indiquée ci-dessous :
    1. a. L'Importateur de données informera à l’avance l'Exportateur de données de tous les changements apportés à la liste des sous-traitants référencée selon la Clause 3.4 (i) de la Partie 1. Si l'Exportateur de données ne formule pas d'objection en vertu de la Clause 3.4. (b) de la Partie 1 trente jours après avoir reçu la notification de l'Importateur de données, les sous-traitants supplémentaires seront réputés acceptés.
    2. b. Si l'Exportateur de données a une raison légitime de s'opposer à un sous-traitant supplémentaire, il en informera préalablement l'Importateur de données par écrit dans les trente jours de la réception de la notification de l'Importateur de données et, en tout état de cause, avant la mise en service de la prestation fournie par l’Importateur de données. Si l'Exportateur de données s'oppose à l'utilisation d’un sous-traitant supplémentaire, l'Importateur de données aura le droit de purger l'objection au moyen d'une des options suivantes (à choisir à sa convenance) : (A) l'Importateur de données annulera ses plans d’utilisation d’un sous-traitant supplémentaire concernant les données personnelles de l'Exportateur de données ; (B) l'Importateur de données prendra les mesures correctives réclamées par l'Exportateur de données dans son objection (ce qui annulera ladite objection) et utilisera le sous-traitant supplémentaire concernant les données personnelles de l'Exportateur de données ; (C) l'Importateur de données pourra cesser de fournir ou l'Exportateur de données pourra accepter de ne pas utiliser (temporairement ou de manière permanente) un aspect particulier du service qui impliquerait l'utilisation du sous-traitant supplémentaire concernant les données personnelles de l'Exportateur de données.
    1. (iv) Dans le cas où le sous-traitant serait domicilié en dehors de l'UE-EEE dans un pays qui n'est pas reconnu comme offrant un niveau adéquat de protection des données suite à une décision de la Commission européenne, l'Importateur de données prendra les mesures voulues pour se conformer à un niveau de protection des données adéquat selon le RGPD (de telles mesures pouvant inclure – entre autres et, selon le cas - l'utilisation de contrats de traitement des données basés sur les clauses du Modèle de l'UE, le transfert à des sous-traitants auto-certifiés dans le cadre du Bouclier de protection UE-USA, ou un programme similaire).

3.5 Terme

Le terme de cette Annexe est identique au terme du Contrat correspondant. Sauf disposition contraire de la présente Annexe, les droits et devoirs liés à la résiliation seront identiques à ceux qui figurent dans le Contrat.

4. Limitation de responsabilité

4.1 Chaque partie est responsable de ses obligations qui découlent de cette Annexe et de la législation applicable à la protection des données.

4.2 Toute responsabilité qui surviendrait au titre ou dans le cadre d'une violation des obligations découlant de cette Annexe ou de la législation applicable à la protection des données relèvera des dispositions liées à la responsabilité indiquées dans le Contrat, ou applicables à ce contrat, et sera régie par lui, sauf disposition contraire de la présente Annexe. Si la responsabilité est régie par les dispositions liées à la responsabilité indiquées dans le Contrat ou applicables à ce contrat, aux fins de calculer les plafonds de responsabilité ou de déterminer l'application d'autres limitations de responsabilité, une responsabilité survenant dans le cadre de cette Annexe sera considérée comme survenant dans le cadre du Contrat.

5. Dispositions générales

5.1 Dans la mesure où il existerait des contradictions ou des divergences entre les Parties 1 et 2 de la présente Annexe, les dispositions de la Partie 2 prévaudront. Plus précisément, même dans ce cas, les dispositions de la Partie 1 qui vont simplement au-delà de la Partie 2 (à savoir, les conditions du Clause type) sans la contredire, resteront valides.

5.2 En cas de divergences entre les dispositions de la présente Annexe et celles d'autres contrats liant les parties, les dispositions de la présente Annexe prévaudront concernant les obligations des parties liées à la protection des données. En cas de doute sur le fait de savoir si les clauses d'autres contrats concernent les obligations des parties liées à la protection des données, la présente Annexe prévaudra.

5.3 S’il advient qu’une disposition de la présente Annexe soit invalide ou inapplicable, le reste de la présente Annexe demeurera pleinement valide. La disposition invalide ou inapplicable sera (i) modifiée, au besoin, pour assurer sa validité et son applicabilité, tout en préservant le plus possible l’intention des parties, ou – si ce n'est pas possible – (ii) interprétée comme si la partie invalide ou inapplicable n’avait jamais fait partie du contrat.  Ce qui précède s'appliquera également si la présente Annexe comporte une omission.

5.5 Dans la mesure nécessaire, les Parties sont en droit de demander des modifications de la Partie 1, Clause 3 (Conformité à la législation locale)  ou d'autres parties de l’Annexe, et ce afin de satisfaire aux interprétations, directives ou ordres émis par les autorités compétentes de l'Union ou des États membres, aux dispositions nationales en matière de mise en vigueur, ou à toutes autres évolutions juridiques concernant le RGPD ou autres conditions de délégation à toutes entités affectées au traitement des données en général, et spécifiquement en ce qui concerne l'utilisation des Clauses types dans le cadre du RGPD. Les termes des Clauses types ne peuvent être ni modifiés ni remplacés à moins que la Commission européenne ne l’approuve de façon expresse (par exemple par de nouvelles clauses adéquates et standards de protection des données).

5.6 Toute référence de cette Annexe aux «Clauses » doit être entendu se rapporter à toutes les dispositions de cette Annexe, à moins de toute disposition contraire. 

5.7 Le choix de la loi de la partie 2, clause 9, concerne l’intégralité du Contrat.

6. Données à caractère personnel transmises et traitées par les parties à des fins personnelles (transfert de responsable de traitement à responsable de traitement)

6.1 Les Parties savent parfaitement que certaines données à caractère personnel seront transférées de l'Exportateur des données à l'Importateur et vice-versa, et que ces données sont traitées par chaque partie à ses propres fins. En ce qui concerne ces données à caractère personnel, les autres dispositions de la présente Annexe ne sont pas concernées (à l'exception de cette clause 6).

6.2 L'Exportateur des données peut transférer des données à caractère personnel relatives au personnel de l'Importateur des données, à ce même Importateur, notamment des informations sur les incidents liés à la sécurité, ou tous autres documents ou fichiers créés ou établis par l’Exportateur des données en relation avec les Services fournis par le personnel de l’Importateur des données. L'Importateur des données peut traiter ces données à caractère personnel à ses propres fins, notamment dans le cadre de ses relations professionnelles avec le personnel de l’Importateur des données, dans le cadre du contrôle de la qualité et la formation, ou d’objectifs commerciaux.

6.3. L'Importateur des données peut transférer des données à caractère personnel à l'Exportateur des données, notamment le nom et les coordonnées relatifs au personnel de l’Importateur des données. L’Exportateur des données peut traiter ce type de données à caractère personnel à ses propres fins.

6.4 Les deux parties se conforment à toute loi en vigueur sur la protection des données, notamment le RGPD, lors du recueil, du traitement et de l'utilisation de ces données à caractère personnel reçues de l'autre partie en vertu de la présente clause 1 de la partie 1. Les deux parties doivent en particulier prendre d’adéquates mesures de sécurité, conférant un niveau de protection similaire aux mesures de sûreté énoncées à l'annexe 2 de la partie 2. Tout accès à ces données à caractère personnel doit se limiter au besoin de les connaitre.

6.5 Les deux parties sont tenues de supprimer ces données à caractère personnel dès que possible, une fois les objectifs atteints.

Partie 2

 DÉCISION DE LA COMMISSION 

du 5 février 2010

relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil

Clause première 

Définitions 

Au sens des clauses: 

a) «données à caractère personnel», «catégories particulières de données», «traiter/traitement», «responsable du traitement», «sous-traitant», «personne concernée» et «autorité de contrôle» ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ( 1 ); 

b) l’«exportateur de données» est le responsable du traitement qui transfère les données à caractère personnel; 

c) l’«importateur de données» est le sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour le compte de ce dernier après le transfert conformément à ses instructions et aux termes des présentes clauses et qui n’est pas soumis au mécanisme d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la directive 95/46/CE; d) le «sous-traitant ultérieur» est le sous-traitant engagé par l’importateur de données ou par tout autre sous-traitant ultérieur de celui-ci, qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant ultérieur de celui-ci des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert conformément aux instructions de ce dernier, aux conditions énoncées dans les présentes clauses et selon les termes du contrat de sous-traitance écrit; 

e) le «droit applicable à la protection des données» est la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l’égard du traitement des données à caractère personnel, et s’appliquant à un responsable du traitement dans l’État membre où l’exportateur de données est établi; 

f) les «mesures techniques et d’organisation liées à la sécurité» sont les mesures destinées à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement. 

Clause 2 

Détails du transfert 

Les détails du transfert et, notamment, le cas échéant, les catégories particulières de données à caractère personnel, sont spécifiés dans l’appendice 1 qui fait partie intégrante des présentes clauses. 

Clause 3 

Clause du tiers bénéficiaire 

1. La personne concernée peut faire appliquer contre l’exportateur de données la présente clause, ainsi que la clause 4, points b) à i), la clause 5, points a) à e) et points g) à j), la clause 6, paragraphes 1 et 2, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 en tant que tiers bénéficiaire. 

2. La personne concernée peut faire appliquer contre l’importateur de données la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 dans les cas où l’exportateur de données a matériellement disparu ou a cessé d’exister en droit, à moins que l’ensemble de ses obligations juridiques n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites clauses. 

3. La personne concernée peut faire appliquer contre le sous-traitant ultérieur la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, mais uniquement dans les cas où l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, auquel reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre lequel la personne concernée peut donc faire appliquer lesdites clauses. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses. 4. Les parties ne s’opposent pas à ce que la personne concernée soit représentée par une association ou un autre organisme si elle en exprime le souhait et si le droit national l’autorise. 

Clause 4 

Obligations de l’exportateur de données 

L’exportateur de données accepte et garantit ce qui suit: 

a) le traitement, y compris le transfert proprement dit des données à caractère personnel, a été et continuera d’être effectué conformément aux dispositions pertinentes du droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi) et n’enfreint pas les dispositions pertinentes dudit État; 

b) il a chargé, et chargera pendant toute la durée des services de traitement de données à caractère personnel, l’importateur de données de traiter les données à caractère personnel transférées pour le compte exclusif de l’exportateur de données et conformément au droit applicable à la protection des données et aux présentes clauses; 

c) l’importateur de données offrira suffisamment de garanties en ce qui concerne les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 du présent contrat; 

d) après l’évaluation des exigences du droit applicable à la protection des données, les mesures de sécurité sont adéquates pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement et elles assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger, eu égard au niveau technologique et au coût de mise en oeuvre; 

e) il veillera au respect des mesures de sécurité; 

f) si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n’offrant pas un niveau de protection adéquat au sens de la directive 95/46/CE; 

g) il transmettra toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3), à l’autorité de contrôle de la protection des données s’il décide de poursuivre le transfert ou de lever sa suspension; 

h) il mettra à la disposition des personnes concernées, si elles le demandent, une copie des présentes clauses, à l’exception de l’appendice 2, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux présentes clauses, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations; 

i) en cas de sous-traitance ultérieure, l’activité de traitement est effectuée conformément à la clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données conformément aux présentes clauses; et 

j) il veillera au respect de la clause 4, points a) à i). 

Clause 5 

Obligations de l’importateur de données  

L’importateur de données accepte et garantit ce qui suit: 

a) il traitera les données à caractère personnel pour le compte exclusif de l’exportateur de données et conformément aux instructions de ce dernier et aux présentes clauses; s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, il accepte d’informer dans les meilleurs délais l’exportateur de données de son incapacité, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat; 

b) il n’a aucune raison de croire que la législation le concernant l’empêche de remplir les instructions données par l’exportateur de données et les obligations qui lui incombent conformément au contrat, et si ladite législation fait l’objet d’une modification susceptible d’avoir des conséquences négatives importantes pour les garanties et les obligations offertes par les clauses, il communiquera la modification à l’exportateur de données sans retard après en avoir eu connaissance, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat; c) il a mis en oeuvre les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 avant de traiter les données à caractère personnel transférées;

d) il communiquera sans retard à l’exportateur de données: 

i) toute demande contraignante de divulgation des données à caractère personnel émanant d’une autorité de maintien de l’ordre, sauf disposition contraire, telle qu’une interdiction de caractère pénal visant à préserver le secret d’une enquête policière; 

ii) tout accès fortuit ou non autorisé; et 

iii) toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’il n’ait été autorisé à le faire; 

e) il traitera rapidement et comme il se doit toutes les demandes de renseignements émanant de l’exportateur de données relatives à son traitement des données à caractère personnel qui font l’objet du transfert et se rangera à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées; 

f) à la demande de l’exportateur de données, il soumettra ses moyens de traitement de données à une vérification des activités de traitement couvertes par les présentes clauses qui sera effectuée par l’exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et choisis par l’exportateur de données, le cas échéant, avec l’accord de l’autorité de contrôle; 

g) il mettra à la disposition de la personne concernée, si elle le demande, une copie des présentes clauses, ou tout contrat de sous-traitance ultérieure existant, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations, à l’exception de l’appendice 2, qui sera remplacé par une description sommaire des mesures de sécurité, lorsque la personne concernée n’est pas en mesure d’obtenir une copie de l’exportateur de données; 

h) en cas de sous-traitance ultérieure, il veillera au préalable à informer l’exportateur de données et à obtenir l’accord écrit de ce dernier; 

i) les services de traitement fournis par le sous-traitant ultérieur seront conformes à la clause 11; 

j) il enverra dans les meilleurs délais une copie de tout accord de sous-traitance ultérieure conclu par lui en vertu des présentes clauses à l’exportateur de données. 

Clause 6 

Responsabilité 

1. Les parties conviennent que toute personne concernée ayant subi un dommage du fait d’un manquement aux obligations visées à la clause 3 ou à la clause 11 par une des parties ou par un sous-traitant ultérieur a le droit d’obtenir de l’exportateur de données réparation du préjudice subi. 

2. Si une personne concernée est empêchée d’intenter l’action en réparation visée au paragraphe 1 contre l’exportateur de données pour manquement par l’importateur de données ou par son sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse déposer une plainte à son encontre comme s’il était l’exportateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, contre laquelle la personne concernée peut alors faire valoir ses droits. L’importateur de données ne peut invoquer un manquement par un sous-traitant ultérieur à ses obligations pour échapper à ses propres responsabilités. 

3. Si une personne concernée est empêchée d’intenter l’action visée aux paragraphes 1 et 2 contre l’exportateur de données ou l’importateur de données pour manquement par le sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse déposer une plainte à son encontre en ce qui concerne ses propres activités de traitement conformément aux présentes clauses comme s’il était l’exportateur de données ou l’importateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, contre lequel la personne concernée peut alors faire valoir ses droits. La responsabilité du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses. 

Clause 7 

Médiation et juridiction 

1. L’importateur de données convient que si, en vertu des clauses, la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi, il acceptera la décision de la personne concernée: 

a) de soumettre le litige à la médiation d’une personne indépendante ou, le cas échéant, de l’autorité de contrôle; 

b) de porter le litige devant les tribunaux de l’État membre où l’exportateur de données est établi. 

2. Les parties conviennent que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural ou matériel de cette dernière d’obtenir réparation conformément à d’autres dispositions du droit national ou international. 

Clause 8 

Coopération avec les autorités de contrôle 

1. L’exportateur de données convient de déposer une copie du présent contrat auprès de l’autorité de contrôle si celle-ci l’exige ou si ce dépôt est prévu par le droit applicable à la protection des données. 

2. Les parties conviennent que l’autorité de contrôle a le droit d’effectuer des vérifications chez l’importateur de données et chez tout sous-traitant ultérieur dans la même mesure et dans les mêmes conditions qu’en cas de vérifications opérées chez l’exportateur de données conformément au droit applicable à la protection des données. 

3. L’importateur de données informe l’exportateur de données, dans les meilleurs délais, de l’existence d’une législation le concernant ou concernant tout sous-traitant ultérieur faisant obstacle à ce que des vérifications soient effectuées chez lui ou chez tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l’exportateur de données a le droit de prendre les mesures prévues par la clause 5, point b). 

Clause 9 

Droit applicable 

Les clauses sont régies par le droit de l’État membre où l’exportateur de données est établi., 

Clause 10 

Modification du contrat 

Les parties s’engagent à ne pas modifier les présentes clauses. Les parties restent libres d’inclure d’autres clauses à caractère commercial qu’elles jugent nécessaires, à condition qu’elles ne contredisent pas les présentes clauses. 

Clause 11 

Sous-traitance ultérieure 

1. L’importateur de données ne sous-traite aucune de ses activités de traitement effectuées pour le compte de l’exportateur de données conformément aux présentes clauses sans l’accord écrit préalable de l’exportateur de données. L’importateur de données ne sous-traite les obligations qui lui incombent conformément aux présentes clauses, avec l’accord de l’exportateur de données, qu’au moyen d’un accord écrit conclu avec le sous-traitant ultérieur, imposant à ce dernier les mêmes obligations que celles qui incombent à l’importateur de données conformément aux présentes clauses ). En cas de manquement, par le sous-traitant ultérieur, aux obligations en matière de protection des données qui lui incombent conformément audit accord écrit, l’importateur de données reste pleinement responsable du respect de ces obligations envers l’exportateur de données. 

2. Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur prévoit également une clause du tiers bénéficiaire telle qu’énoncée à la clause 3 pour les cas où la personne concernée est empêchée d’intenter l’action en réparation visée à la clause 6, paragraphe 1, contre l’exportateur de données ou l’importateur de données parce que ceux-ci ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, et que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n’a pas été transféré, par contrat ou par effet de la loi, à une autre entité leur ayant succédé. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses. 

3. Les dispositions relatives aux aspects de la sous-traitance ultérieure liés à la protection des données du contrat visé au paragraphe 1 sont régies par le droit de l’État membre où l’exportateur de données est établi. 

4. L’exportateur de données tient une liste des accords de sous-traitance ultérieure conclus en vertu des présentes clauses et notifiés par l’importateur de données conformément à la clause 5, point j), qui sera mise à jour au moins une fois par an. Cette liste est mise à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données. 

Clause 12 

Obligation après la résiliation des services de traitement des données à caractère personnel 

1. Les parties conviennent qu’au terme des services de traitement des données, l’importateur de données et le sous-traitant ultérieur restitueront à l’exportateur de données, et à la convenance de celui-ci, l’ensemble des données à caractère personnel transférées ainsi que les copies, ou détruiront l’ensemble de ces données et en apporteront la preuve à l’exportateur de données, à moins que la législation imposée à l’importateur de données ne l’empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confidentialité des données à caractère personnel transférées et qu’il ne traitera plus activement ces données. 

2. L’importateur de données et le sous-traitant ultérieur garantissent que si l’exportateur de données et/ou l’autorité de contrôle le demandent, ils soumettront leurs moyens de traitement de données à une vérification des mesures visées au paragraphe 1. 

Annexe 1.1 de la partie 2

Détails du transfert

Exportateur des données

L'Exportateur des données est le Client défini au Contrat.

Importateur des données

L'Importateur des données est IQUALIF et est affecté au traitement des données, prestant les services à l'Exportateur des données.

Sujets des données

Les données à caractère personnel transférées, concernent les catégories suivantes de personnes concernées :

☒ les abonnées téléphoniques inscrits sur l’annuaire universel

D'autres, notamment :

Catégories de données

Les données à caractère personnel transférées, concernent les catégories suivantes de données :

Catégories de données à caractère personnel des personnes concernées de l'Exportateur des données, en particulier,

☒ Nom complet

☒ Adresse postale

☒ Coordonnées (e-mail, téléphone, adresse IP, etc.)

☒ Détails sur les activités de marketing concernant l’abonné téléphonique

☒ D'autres, notamment : type de logement, revenus et âges moyens par ville rendus anonymes

Catégories spéciales de données (le cas échéant)

Les données à caractère personnel transférées, concernent les catégories spéciales suivantes de données :

☒ Le transfert de catégories spéciales de données n'est pas prévu

Race ou origine ethnique

Croyances religieuses ou philosophiques

Adhésion syndicale

Opinions politiques

Renseignements génétiques 

Renseignements biométriques

Informations sur l'orientation sexuelle ou la vie sexuelle

Données concernant la santé

Activités de traitement

Les données à caractère personnel transférées seront soumises aux activités élémentaires de traitement suivantes :

    • Objet du traitement

Le traitement entrepris pour le compte de l'Exportateur de données s’articule autour des sujets suivants, en particulier :

☒ Prise en charge des produits ou services proposés par l’Exportateur des données

☒ Offre d'un produit ou d'un service que la personne appelée peut demander

☒ Commandes prises auprès des personnes appelées et traitement ultérieur de ces commandes

☒ Questionnaires d'études et analyses

☒ Télémarketing

Autres, notamment :

    • Nature et but du traitement

L'Importateur des données traite les données à caractère personnel des personnes concernées au nom de l'Exportateur des données, afin de fournir les services suivants, et en particulier :

☒ Ventes et marketing

☒ Autres, notamment : mise à jour des bases de données des mairies et des partis politiques

    • Fourniture des services et emploi de prestataires de services

IQUALIF combine, centralise et fournit principalement les services à l'Exportateur des données. Les services prestés par le fournisseur de services nommé, peuvent s’articuler (entre autres et selon le cas) autour des services auxiliaires suivants : (i) fourniture d'applications, d'outils, de systèmes et d'une infrastructure informatique en relation avec les centres de traitement des données utilisés, cela afin de fournir et d’appuyer les services, notamment le traitement des données à caractère personnel des personnes concernées telles que décrites ci-dessus, via ce type d’applications, d’outils et de systèmes ; (ii) apport d’une assistance informatique, de la maintenance et d'autres services concernant ces applications, outils, systèmes et infrastructure informatique, notamment un accès potentiel aux données à caractère personnel stockées dans ces applications, outils et systèmes ; et (iii) prestation de services de protection des données, de surveillance de la protection et de services d’intervention en cas d’incidents, notamment un accès potentiel aux données à caractère personnel lors de la prestation de ce type de services de protection. IQUALIF peut engager des sous-traitants comme indiqué ci-dessous, afin de prester les services, et notamment les services auxiliaires.

    • Fournisseurs de services tiers externes en tant que sous-entités affectées aux traitement des données

IQUALIF engage des fournisseurs de services externes et tiers, qui ne sont pas des filiales d’IQUALIF, et ce afin d’appuyer la fourniture des services à l'Exportateur des données. L’Exportateur des données approuve ce type de fournisseurs de services tiers externes en tant que sous-entités affectées aux traitement des données

Si une sous-entité affectée au traitement des données se trouve en dehors de l'UE / EEE, dans un pays réputé ne pas disposer d’un niveau adéquat de protection des données conformément à une décision de la Commission européenne, l'Importateur des données prendra des mesures afin d’obtenir un niveau suffisant de protection des données conformément au RGPD, ainsi qu’à la section 3,4 (iv) de la partie 1.

Annexe 2, partie 2

Mesures de protection techniques et organisationnelles

L'Importateur des données prend les mesures de protection technique et organisationnelle suivantes, le cas échéant confirmées par l'Exportateur des données, afin de garantir un niveau de sécurité approprié des droits et libertés des personnes, et cela en fonction des risques. En évaluant le niveau de protection concerné, l'Exportateur des données a tenu compte notamment des risques s’articulant autour du traitement, notamment la destruction accidentelle ou illicite, la modification, la divulgation interdire ou l'accès aux données à caractère personnel transmises, stockées ou traitées d’une quelle autre façon que ce soit. À titre de clarification : Ces mesures de protection technique et organisationnelle ne concernent pas les applications, outils, systèmes et / ou infrastructures informatiques fournis par l'Exportateur des données.

1 Mesures générales de protection techniques et organisationnelles

1.1 Stratégies générales de protection des informations et des données

Les mesures suivantes doivent être prises afin de suivre les stratégies générales de protection des données et informations :

  • a) prendre des mesures visant à évaluer celles prises en matière de protection technique et organisationnelle ;
  • b) dispenser une formation afin de sensibiliser les employés ;
  • c) disposer d'une description des systèmes concernés et accorder un accès aux employés ;
  • d) mettre en place un processus officiel de documentation, à chaque fois que des systèmes sont implémentés ou modifiés ;
  • e) documentation de la structure organisationnelle, des processus, des responsabilités et des évaluations respectives ;

1.2 Organisation de la protection des informations

Les mesures suivantes doivent être prises afin de coordonner les activités de protection des données et informations :

  • a) responsabilités définies en matière de protection des informations et données (par exemple, par le biais de la politique de gestion de la protection des données) ;
  • b) compétences nécessaires en matière de protection des informations et des données demeurant disponibles ;
  • c) tous les employés se sont engagés à faire en sorte de tenir les données à caractère personnel confidentielles, et ont été informés des conséquences potentielles en cas de violation de cet engagement.

1.3 Contrôle de l'accès aux zones de traitement 

Les mesures suivantes doivent être prises afin d’empêcher les personnes non autorisées d'accéder aux systèmes de traitement des données (notamment aux logiciels et au matériel) lorsque les données à caractère personnel sont traitées, stockées ou transmises : 

  • a) établir des zones sécurisées ;
  • b) protéger et restreindre l'accès aux systèmes de traitement des données ; 
  • c) établir des autorisations d'accès aux employés et tiers, notamment les documents respectifs ;
  • d) tout accès aux centres de traitement des données dans lesquels des données à caractère personnel sont hébergées, sera consigné.

1.4 Contrôle de l'accès aux systèmes de traitement des données 

Les mesures suivantes doivent être prises afin d’empêcher tout accès interdit aux systèmes de traitement des données: 

  • a) politiques et procédures d'authentification des utilisateurs ; 
  • b) utiliser des mots de passe sur tous les systèmes informatiques ;
  • c) l'accès à distance au réseau nécessite une authentification en plusieurs facteurs, et est accordé au personnel concerné en fonction des responsabilités, et sur autorisation ;
  • d) l'accès à des fonctions spécifiques repose sur des fonctions professionnelles et / ou attributs assignés individuellement au compte d'un utilisateur ;
  • e) les droits d'accès liés aux données à caractère personnel sont revus régulièrement ;
  • f) tenir à jour les dossiers des modifications apportées aux droits d'accès.

1.4 Contrôle de l'accès à des zones particulières d’utilisation des systèmes de traitement des données 

Les mesures suivantes doivent être prises afin que les personnes autorisées ayant le droit d’utiliser le système de traitement des données, puissent n’accéder qu’aux données relevant de leurs responsabilités et autorisations d'accès respectives, et afin que les données à caractère personnel ne puissent pas être lues, copiées, modifiées ou supprimées sans autorisation: 

    1. a) des politiques, instructions et la formation des employés, concernant les obligations de chacun d’eux en matière de confidentialité, de droits d'accès aux données à caractère personnel et de la portée du traitement des données à caractère personnel; 
  • b) des mesures disciplinaires à l'encontre des personnes accédant à des données à caractère personnel sans autorisation ; 
  • c) l'accès aux données à caractère personnel ne sera accordé qu’aux personnes autorisées, et cela en fonction de leur besoin de les connaitre ; 
  • d) tenir une liste des administrateurs système, et prendre les mesures concernées visant à surveiller les administrateurs système ;
  • e) ne pas copier ni reproduire des données à caractère personnel sur tous systèmes de stockage, afin de permettre à des personnes non autorisées de supprimer les informations de leur auteur ;
  • f) effacement contrôlé et documenté ou destruction des données ; 
  • g) stocker en toute sécurité toutes les données à caractère personnel devant être conservées pour des raisons légales ou réglementaires (par exemple, obligations de conserver des données), et seulement aussi longtemps que la loi l’exige.

1.6 Contrôle des transmissions 

Les mesures suivantes doivent être prises afin d’empêcher que les données à caractère personnel soient lues, copiées, modifiées ou supprimées par des tiers non autorisés, lors de la transmission ou du transport des appareils de stockage des données (en fonction du traitement entrepris des données à caractère personnel) : 

    1. a) utilisation de pare-feux ; 
  • b) éviter le stockage de données à caractère personnel sur des appareils de stockage mobiles, à des fins de transport, ou chiffrer les appareils
  • c) Ne les utiliser sur des ordinateurs portables et autres appareils mobiles qu’une fois la protection par chiffrage enclenchée ;
  • d) consignation des transmissions des données à caractère personnel.

1.7 Contrôle de la saisie 

Les mesures suivantes doivent être prises afin de s'assurer qu'il soit possible de vérifier et de déterminer si des données à caractère personnel ont été saisies dans les systèmes de traitement de données ou supprimées, et qui s’en est chargé : 

    1. a) une politique d'autorisation de lecture, d'altération et de suppression des données stockées ;
  • b) mesures de protection concernant la lecture, l'altération et la suppression des données stockées.

1.8 Contrôle du travail 

Dans le cas d'un traitement délégué de données à caractère personnel, les mesures suivantes doivent être prises afin de garantir que ces données soient traitées conformément aux instructions du contrôleur :

    1. a) des entités ou sous-entités affectées au traitement des données, choisies avec méticulosité (prestataires de services traitant des données à caractère personnel pour le compte du contrôleur);
  • b) des instructions concernant la portée de tout traitement des données à caractère personnel aux employés, aux entités ou sous-entités affectées au traitement des données ;
  • c) les droits d'audit convenus avec les entités ou sous-entités affectées au traitement des données
  • d) accords en place avec les entités ou sous-entités affectées au traitement des données.

1,9 Séparation du traitement à d’autres fins 

Les mesures suivantes doivent être prises afin de garantir que les données collectées à d’autres fins puissent être traitées séparément : 

    1. a) séparer l'accès aux données à caractère personnel conformément aux droits en vigueur des utilisateurs ; 
  • b) les interfaces, les traitements par lots et les rapports sont destinés à d’autres objectifs et fonctions, afin que les données collectées à d’autres fins puissent être traitées séparément.

1.10 Pseudonymisation 

Les mesures suivantes doivent être prises concernant la pseudonymisation des données à caractère personnel :

    1. a) Si l’Exportateur de données ordonne un traitement spécifique ou si cela est considéré approprié par l'importateur de données, et ce conformément aux lois en vigueur en matière de protection des données concernant certaines activités de traitement, le traitement des données à caractère personnel sera effectué afin que les données ne puissent plus être attribuées à un personne spécifique sans l'utilisation d'informations supplémentaires. Ces informations supplémentaires seront conservées séparément ;
  • b) utilisation de techniques de pseudonymisation, notamment la randomisation à liste d'allocation ; création de valeurs sous forme de dièses.

1,11 Cryptage

Les mesures suivantes doivent être prises afin de chiffrer les données à caractère personnel dans le cadre d’applications et de transmissions prenant en charge le cryptage :

    1. a) utilisation de techniques de cryptage ;
  • b) instauration de la gestion du cryptage afin d’appuyer les techniques afférentes autorisées à employer ;
  • c) soutenir l'utilisation de la cryptographie grâce à des procédures et des protocoles de génération, à la modification, la révocation, la destruction, la distribution, la certification, le stockage, la saisie, l'utilisation et l'archivage des clés cryptographiques à titre de protection contre la modification et la divulgation interdites.

1.12 Intégralité des systèmes de traitement des données et des services 

Les mesures suivantes doivent être prises afin de garantir l’intégralité des systèmes de traitement des données et des services :

  1. a) protection des systèmes de traitement des données contre la manipulation ou la destruction, et cela grâce à des moyens appropriés (ex. logiciel anti-virus, logiciel de prévention des pertes de données et logiciels contre les malware, correctifs logiciels, pare-feu et protection gérée des ordinateurs de bureau) ;
  • b) interdire l'installation de tout service ou logiciel nuisible aux systèmes de traitement des données, aux services ou à la manipulation de données à caractère personnel ;
  • c) utilisation d'un système de détection et de prévention d'intrusion dans le réseau dans la structure du réseau lui-même.

1,14 Disponibilité des systèmes de traitement des données et des services, ainsi que possibilité de rétablir l’accès et l’utilisation des données à caractère personnel en cas d'incident matériel ou technique

Les mesures suivantes doivent être prises afin de garantir la disponibilité des systèmes de traitement des données, ainsi que de pouvoir rétablir rapidement la disponibilité des données à caractère personnel et leur accès, en cas d'incident matériel ou technique (notamment en s’assurant que les données à caractère personnel soient protégées contre toute destruction ou perte accidentelle):

  • a) disposer de moyens de contrôle visant à conserver des copies de sauvegarde, et à restaurer les données perdues ou effacées ;
  • b) redondance infrastructurelle et tests de bon fonctionnement ;
  • c) protection matérielle des ressources informatiques ;
  • d) utilisation d'outils afin de surveiller l’état et la disponibilité du réseau interne ;
  • e) rapports sur les incidents et politiques d'intervention régissant la procédure de gestion des incidents, et réitération de l’adhésion à ces politiques dans le cadre de la formation régulière ;
  • f) sauvegardes (parfois hors site) permettant de restaurer le système et lui permettre ainsi de remplir ses fonctions de nouveau ;
  • g) plans de continuité des activités / de reprise après sinistre.

1.12 Résilience des systèmes de traitement des données et des services 

Les mesures suivantes doivent être prises afin de garantir la résilience des systèmes de traitement des données et des services :

  • a) systèmes et configurés de manière harmonieuse, grâce à des paramètres de sécurité approuvés ;
  • b) redondance du réseau ;
  • c) protection par confinement des systèmes critiques.

1,16 Procédure permettant de tester, d’évaluer et de juger régulièrement de l'efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement des données

Procédure permettant de tester, d’évaluer et de juger régulièrement de l'efficacité des mesures techniques et organisationnelles visant à protéger le traitement des données

  • a) prendre les mesures nécessaires afin d’évaluer les risques et les stratégies d'atténuation ;
  • b) réunions d'analyse de service du département Informatique afin de traiter des problèmes actuels ;
  • c) les plans de continuité des activités / de reprise après sinistre sont régulièrement actualisés.

Partie 3

Signatures des parties et liste des Importateurs des données

Au moment de remplir votre le bon de commande en ligne et en le validant, en cochant la case d’acceptation des conditions générales d’utilisation, le contrat régissant les relations entre le Client et IQUALIF est formé. 

L'envoi du règlement à IQUALIF suffira à considérer le contrat formé.