Pour les clients individuels

Clauses contractuelles types

Aux fins de l'article 28, paragraphe 3, du règlement 2016/679 (le GDPR) 

Entre l'utilisateur (le responsable du traitement)

SOCIÉTÉ
NOM
HORODATAGE
IP DE L'UTILISATEUR
EMAIL

et

Data & More ApS
Flæsketorvet 68
DK-1711 København V
Numéro CVR : 38185659 (le responsable du traitement des données)

chacun est une "partie" ; ensemble, "les parties

ont convenu des clauses contractuelles suivantes (les clauses) afin de satisfaire aux exigences du GDPR et de garantir la protection des droits de la personne concernée.

Table des matières

1. Préambule 3
2. Les droits et obligations du responsable du traitement des données 3
3. Le responsable du traitement des données agit conformément aux instructions 3
4. Confidentialité 4
5. Sécurité du traitement 4
6. Utilisation de sous-traitants secondaires 5
7. Transfert de données à des pays tiers ou à des organisations internationales 6
8. Assistance au responsable du traitement des données 6
9. Notification d'une violation de données à caractère personnel 7
10. Effacement et restitution des données 8
11. Audit et inspection 8
12. L'accord des parties sur les autres conditions 8
13. Début et fin de l'application 8
14. Contacts du responsable du traitement des données et du sous-traitant / points de contact 9

Annexe A Informations sur le traitement 10

1. La finalité du traitement des données à caractère personnel par le sous-traitant pour le compte du contrôleur est la suivante : 10
2. Le traitement de données à caractère personnel par le sous-traitant pour le compte du responsable du traitement porte principalement sur (la nature du traitement) : 10
3. Le traitement porte sur les types de données à caractère personnel suivants concernant les personnes concernées : 11
4. Le traitement comprend les catégories suivantes de personnes concernées 11
5. Le traitement de données à caractère personnel par le sous-traitant pour le compte du contrôleur peut être effectué lorsque les clauses commencent à s'appliquer. Le traitement a la durée suivante : 11

Annexe B Sous-traitants autorisés 13

1. Sous-traitants agréés 13

Annexe C Instruction relative à l'utilisation des données à caractère personnel 14

1. Objet du traitement/instruction pour le traitement 14
2. Sécurité du traitement 14

Sécurité organisationnelle 14

Sécurité physique 14

Sécurité technique : Accès et protection des systèmes informatiques 15

Sécurité technique : Accès aux données personnelles 15

Sécurité technique : Cryptage 16

Sécurité technique : Protection des données à caractère personnel lors de leur transmission 16

Sécurité technique : Disponibilité et robustesse 16

3. Assistance au contrôleur 16
4. Période de stockage/procédures d'effacement 17
5. Lieu de traitement 17
6. Instruction sur le transfert de données à caractère personnel vers des pays tiers 17
7. Procédures d'audit, y compris d'inspection, du traitement des données à caractère personnel effectué par le sous-traitant par le contrôleur 17
8. Procédures d'audit, y compris d'inspection, du traitement des données à caractère personnel effectué par les sous-traitants ultérieurs. 18
9. Annexe D Conditions d'accord des parties sur d'autres sujets 20
10. Autres questions 20
11. L'accord sur le traitement des données ne règle pas d'autres questions. 20

• Préambule

 

1. Les présentes clauses contractuelles (les clauses) définissent les droits et obligations du responsable du traitement et du sous-traitant lorsqu'ils traitent des données à caractère personnel pour le compte du responsable du traitement.

 

1. Les Clauses ont été conçues pour assurer le compliance par les parties de l'article 28(3) du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).

 

1. Dans le cadre de la fourniture de Data & More Compliance Server, le sous-traitant traitera les données à caractère personnel pour le compte du responsable du traitement, conformément aux clauses.

 

1. Les clauses ont priorité sur toute disposition similaire contenue dans d'autres accords entre les parties.

 

1. Quatre annexes sont jointes aux clauses et en font partie intégrante.

 

1. L'annexe A contient des détails sur le traitement des données à caractère personnel, y compris la finalité et la nature du traitement, le type de données à caractère personnel, les catégories de personnes concernées et la durée du traitement.

 

1. L'annexe B contient les conditions du responsable du traitement pour l'utilisation de sous-traitants par le sous-traitant et une liste des sous-traitants autorisés par le responsable du traitement.

 

1. L'annexe C contient les instructions du responsable du traitement concernant le traitement des données à caractère personnel, les mesures de sécurité minimales à mettre en œuvre par le sous-traitant et la manière dont les audits du sous-traitant et de tout sous-traitant ultérieur doivent être effectués.

 

1. L'annexe D contient des dispositions relatives à d'autres activités qui ne sont pas couvertes par les clauses. 

 

1. Les clauses et leurs annexes sont conservées par écrit, y compris sous forme électronique, par les deux parties.

 

1. Les Clauses ne dispensent pas le sous-traitant des obligations auxquelles il est soumis en vertu du règlement général sur la protection des données (le RGPD) ou d'autres législations.

• Les droits et obligations du responsable du traitement des données

 

1. Le responsable du traitement est chargé de veiller à ce que le traitement des données à caractère personnel soit compliance au GDPR (voir l'article 24 GDPR), aux dispositions applicables de l'UE ou des États membres en matière de protection des données et aux Clauses. ou des États membres applicables en matière de protection des données et aux clauses.

 

1. Le responsable du traitement a le droit et l'obligation de prendre des décisions sur les finalités et les moyens du traitement des données à caractère personnel.

 

1. Le responsable du traitement est notamment chargé de veiller à ce que le traitement des données à caractère personnel que le sous-traitant est chargé d'effectuer repose sur une base juridique. 

• Le responsable du traitement des données agit selon des instructions

 

1. Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins que le droit de l'Union ou de l'État membre auquel le sous-traitant est soumis ne l'y oblige. Ces instructions sont précisées dans les annexes A et C. Des instructions ultérieures peuvent également être données par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel, mais ces instructions doivent toujours être documentées et conservées par écrit, y compris sous forme électronique, dans le cadre des présentes clauses. 

 

1. Le sous-traitant des données informe immédiatement le responsable du traitement des données si les instructions données par le responsable du traitement des données, de l'avis du sous-traitant des données, contreviennent au GDPR ou aux dispositions applicables de l'UE ou de l'État membre en matière de protection des données.

 

1. En outre, le sous-traitant aide le responsable du traitement à garantir le compliance des obligations du responsable du traitement en vertu de l'article 32 du GDPR, notamment en fournissant au responsable du traitement des informations concernant les mesures techniques et organisationnelles déjà mises en œuvre par le sous-traitant en vertu de l'article 32 du GDPR, ainsi que toutes les autres informations nécessaires au responsable du traitement pour se conformer à l'obligation du responsable du traitement en vertu de l'article 32 du GDPR.
2. Si par la suite - selon l'évaluation du responsable du traitement - l'atténuation des risques identifiés nécessite la mise en œuvre par le sous-traitant de mesures supplémentaires par rapport à celles déjà mises en œuvre par le sous-traitant conformément à l'article 32 du GDPR, le responsable du traitement spécifie ces mesures supplémentaires à mettre en œuvre dans l'appendice C.

• Confidentialité

 

1. Le sous-traitant n'accorde l'accès aux données à caractère personnel traitées pour le compte du responsable du traitement qu'aux personnes placées sous son autorité qui se sont engagées à respecter la confidentialité ou qui sont soumises à une obligation légale appropriée de confidentialité, et uniquement sur la base du besoin d'en connaître. La liste des personnes auxquelles l'accès a été accordé fait l'objet d'un réexamen périodique. Sur la base de ce réexamen, l'accès aux données à caractère personnel peut être retiré, si l'accès n'est plus nécessaire, et les données à caractère personnel ne sont dès lors plus accessibles à ces personnes.

 

1. À la demande du responsable du traitement, le sous-traitant démontre que les personnes concernées placées sous son autorité sont soumises à la confidentialité susmentionnée.

• Sécurité du traitement 

 

1. L'article 32 du GDPR stipule que, compte tenu de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque, dont la probabilité et la gravité varient, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque.

 

Le responsable du traitement évalue les risques pour les droits et libertés des personnes physiques inhérents au traitement et met en œuvre des mesures pour atténuer ces risques. En fonction de leur pertinence, les mesures peuvent comprendre les éléments suivants :

1. Pseudonymisation et cryptage des données personnelles ;

 

1. la capacité à assurer en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ;

 

1. la capacité de rétablir la disponibilité et l'accès aux données à caractère personnel en temps utile en cas d'incident physique ou technique ;

 

1. un processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles destinées à garantir la sécurité du traitement.

 

1. Conformément à l'article 32 du RGPD, le sous-traitant des données évalue également - indépendamment du responsable du traitement - les risques pour les droits et libertés des personnes physiques inhérents au traitement et met en œuvre des mesures pour atténuer ces risques. À cet effet, le responsable du traitement fournit au sous-traitant toutes les informations nécessaires à l'identification et à l'évaluation de ces risques.

 

1. En outre, le sous-traitant aide le responsable du traitement à assurer le compliance des obligations qui lui incombent en vertu de l'article 32 du RGPD, notamment par les moyens suivants entre autres en fournissant au responsable du traitement des données des informations concernant les mesures techniques et organisationnelles déjà mises en œuvre par le sous-traitant en vertu de l'article 32 du RGPD, ainsi que toutes les autres informations nécessaires au responsable du traitement des données pour se conformer à l'obligation qui lui incombe en vertu de l'article 32 du RGPD.

 

Si, par la suite, selon l'évaluation du responsable du traitement, l'atténuation des risques identifiés nécessite la mise en œuvre par le sous-traitant de mesures supplémentaires par rapport à celles déjà mises en œuvre par le sous-traitant en vertu de l'article 32 du RGPD, le responsable du traitement spécifie ces mesures supplémentaires à mettre en œuvre dans l'appendice C.

• Utilisation de sous-traitants

 

1. Le sous-traitant doit satisfaire aux exigences énoncées à l'article 28, paragraphes 2 et 4, du GDPR afin d'engager un autre sous-traitant (un soustraitant).

 

1. Le sous-traitant ne peut donc pas faire appel à un autre sous-traitant (soustraitant) pour l'exécution des clauses sans l'autorisation écrite spécifique et préalable du sous-traitant. l'autorisation écrite spécifique du responsable du traitement des données.

 

1. Le sous-traitant n'engage des sous-traitants secondaires qu'avec l'autorisation spécifique préalable du responsable du traitement. Le sous-traitant soumet la demande d'autorisation spécifique au moins 30 jours avant l'engagement du sous-traitant ultérieur concerné. La liste des sous-traitants secondaires déjà autorisés par le responsable du traitement figure à l'annexe B.

 

1. Lorsque le sous-traitant fait appel à un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection des données que celles énoncées dans les clauses sont imposées à ce sous-traitant ultérieur au moyen d'un contrat ou d'un autre acte juridique en vertu du droit de l'UE ou de l'État membre, en particulier en fournissant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences des clauses et du GDPR.

 

Il incombe donc au sous-traitant d'exiger que le sous-traitant ultérieur respecte au moins les obligations auxquelles le sous-traitant est soumis en vertu des clauses et du GDPR.

 

1. À la demande du responsable du traitement des données, une copie de cet accord de sous-traitance et de ses modifications ultérieures est soumise au responsable du traitement des données, ce qui donne à ce dernier la possibilité de s'assurer que les mêmes obligations en matière de protection des données que celles énoncées dans les présentes clauses sont imposées au sous-traitant ultérieur. Les clauses relatives à des questions d'ordre commercial qui n'affectent pas le contenu juridique de l'accord de sous-traitance en matière de protection des données ne doivent pas être soumises au responsable du traitement.  

 

1. Le sous-traitant convient avec le sous-traitant ultérieur d'une clause de tiers bénéficiaire en vertu de laquelle - dans le cas où le sous-traitant a effectivement disparu, a cessé d'exister en droit ou est devenu insolvable - le responsable du traitement a le droit de résilier le contrat de sous-traitance ultérieur et d'enjoindre au sous-traitant ultérieur d'effacer ou de restituer les données à caractère personnel.

 

1. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant ultérieur reste pleinement responsable vis-à-vis du responsable du traitement des données en ce qui concerne le respect des obligations du sous-traitant ultérieur. Cela n'affecte pas les droits des personnes concernées en vertu du GDPR - en particulier ceux prévus aux articles 79 et 82 du GDPR - à l'encontre du responsable du traitement et du sous-traitant, y compris le sous-traitant ultérieur.

• Transfert de données vers des pays tiers ou des organisations internationales

 

1. Tout transfert de données à caractère personnel vers des pays tiers ou des organisations internationales par le sous-traitant n'a lieu que sur la base d'instructions documentées du responsable du traitement et se fait toujours dans le compliance du chapitre V du RGPD. 

 

1. Si les transferts vers des pays tiers ou des organisations internationales, que le sous-traitant n'a pas été chargé d'effectuer par le responsable du traitement, sont requis par le droit de l'UE ou de l'État membre auquel le sous-traitant est soumis, le sous-traitant informe le responsable du traitement de cette exigence légale avant le traitement, à moins que le droit en question n'interdise cette information pour des raisons importantes d'intérêt public.

 

1. Sans instructions documentées de la part du responsable du traitement, le sous-traitant ne peut donc pas s'inscrire dans le cadre des clauses :

 

1. transférer des données à caractère personnel à un contrôleur de données ou à un sous-traitant de données dans un pays tiers ou dans une organisation internationale

 

1. transférer le traitement des données à caractère personnel à un sous-traitant dans un pays tiers 

 

1. faire traiter les données à caractère personnel par le sous-traitant dans un pays tiers

 

1. Les instructions du responsable du traitement concernant le transfert de données à caractère personnel vers un pays tiers, y compris, le cas échéant, l'outil de transfert prévu au chapitre V du GDPR sur lequel elles se fondent, figurent à l'appendice C.6.

 

1. Les clauses ne doivent pas être confondues avec les clauses types de protection des données au sens de l'article 46, paragraphe 2, points c) et d), du GDPR, et les clauses ne peuvent pas être considérées par les parties comme un outil de transfert au titre du chapitre V du GDPR.

• Assistance au responsable du traitement des données

 

1. Compte tenu de la nature du traitement, le sous-traitant assiste le responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, dans l'exécution des obligations du responsable du traitement de répondre aux demandes d'exercice des droits de la personne concernée prévues au chapitre III du GDPR.

Cela implique que le sous-traitant aide, dans la mesure du possible, le responsable du traitement à compliance exercice des droits suivants de la personne concernée :

 

1. le droit d'être informé lors de la collecte de données personnelles auprès de la personne concernée
2. le droit d'être informé lorsque les données à caractère personnel n'ont pas été obtenues de la personne concernée
3. le droit d'accès de la personne concernée
4. le droit de rectification
5. le droit à l'effacement ("droit à l'oubli")
6. le droit à la limitation du traitement
7. obligation de notification concernant la rectification ou l'effacement des données à caractère personnel ou la limitation du traitement
8. le droit à la portabilité des données
9. le droit d'opposition 
10. le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage

 

1. Outre l'obligation du sous-traitant d'aider le responsable du traitement en vertu de la clause 8.1, le sous-traitant doit en outre, compte tenu de la nature du traitement et des informations dont il dispose, aider le responsable du traitement à assurer le compliance dispositions de la présente directive :

 

1. L'obligation du responsable du traitement de notifier la violation de données à caractère personnel à l'autorité de contrôle compétente dans les meilleurs délais et, si possible, au plus tard 72 heures après en avoir pris connaissance. L'agence nationale de protection des données compétente doit être notifiée - au Danemark, l'agence danoise de protection des données - sauf si la violation de données à caractère personnel n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques.

 

1. l'obligation pour le responsable du traitement de communiquer sans délai excessif la violation de données à caractère personnel à la personne concernée, lorsque la violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ;

 

1. l'obligation pour le responsable du traitement de procéder à une évaluation de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel (évaluation de l'impact sur la protection des données) ;

 

1. l'obligation pour le responsable du traitement de consulter l'autorité de contrôle compétente, L'agence nationale de protection des données compétente doit être notifiée - au Danemark, l'agence danoise de protection des données - avant le traitement lorsqu'une analyse d'impact sur la protection des données indique que le traitement entraînerait un risque élevé en l'absence de mesures prises par le responsable du traitement pour atténuer le risque.

 

1. Les parties définissent dans l'appendice C les mesures techniques et organisationnelles appropriées par lesquelles le sous-traitant est tenu d'assister le responsable du traitement, ainsi que la portée et l'étendue de l'assistance requise. Cela s'applique aux obligations prévues aux clauses 9.1 et 9.2.

 

• Notification d'une violation de données à caractère personnel

 

1. En cas de violation de données à caractère personnel, le sous-traitant notifie cette violation au responsable du traitement dans les meilleurs délais après en avoir pris connaissance.

 

1. La notification du sous-traitant au responsable du traitement a lieu, si possible, dans les 24 heures suivant le moment où le sous-traitant a pris connaissance de la violation de données à caractère personnel, afin de permettre au responsable du traitement de se conformer à l'obligation du responsable du traitement de notifier la violation de données à caractère personnel à l'autorité de contrôle compétente, conformément à l'article 33 du RGPD.

 

1. Conformément à la clause 9, paragraphe 2, le sous-traitant aide le responsable du traitement à notifier la violation de données à caractère personnel à l'autorité de contrôle compétente, ce qui signifie que le sous-traitant est tenu d'aider à obtenir les informations énumérées ci-dessous qui, conformément à l'article 33, paragraphe 3, du RGPD, doivent être mentionnées dans la notification du responsable du traitement à l'autorité de contrôle compétente :  

 

1. La nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; 

 

1. les conséquences probables de la violation de données à caractère personnel ;

 

1. les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures visant à en atténuer les éventuels effets négatifs. 

 

1. Les parties définissent dans l'appendice C tous les éléments que le sous-traitant doit fournir lorsqu'il aide le responsable du traitement à notifier une violation de données à caractère personnel à l'autorité de contrôle compétente.

 

• Effacement et restitution des données

 

1. Lorsqu'il cesse de fournir des services de traitement de données à caractère personnel, le sous-traitant a l'obligation de supprimer toutes les données à caractère personnel traitées pour le compte du responsable du traitement et de certifier au responsable du traitement qu'il l'a fait.

 

• Audit et inspection

 

1. Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le compliance des obligations énoncées à l'article 28 et dans les clauses et permet les audits, y compris les inspections, effectués par le responsable du traitement ou par un autre auditeur mandaté par le responsable du traitement, et y contribue.

 

1. Les procédures applicables aux audits, y compris les inspections, du sous-traitant et des sous-traitants ultérieurs par le responsable du traitement sont précisées aux appendices C.7. et C.8.    

 

1. Le sous-traitant est tenu de fournir aux autorités de contrôle qui, en vertu de la législation applicable, ont accès aux installations du responsable du traitement et du sous-traitant, ou aux représentants agissant au nom de ces autorités de contrôle, l'accès aux installations physiques du sous-traitant sur présentation d'une pièce d'identité appropriée et conformément au droit procédural de l'Union ou de l'État membre. 

• L'accord des parties sur d'autres conditions 

 

1. Les parties peuvent convenir d'autres clauses concernant la fourniture du service de traitement des données à caractère personnel, notamment en matière de responsabilité, pour autant qu'elles ne contredisent pas directement ou indirectement les présentes clauses et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux de la personne concernée et à la protection offerte par le GDPR.

• Début et fin de l'application

 

1. Les clauses entrent en vigueur à la date de la signature des deux parties.

 

1. Les deux parties ont le droit de demander une renégociation des clauses si des modifications de la loi ou l'inopportunité des clauses donnent lieu à une telle renégociation. 

 

1. Les clauses s'appliquent pendant toute la durée de la prestation des services de traitement des données à caractère personnel. Pendant la durée de la prestation de services de traitement de données à caractère personnel, les clauses ne peuvent être résiliées, à moins que d'autres clauses régissant la prestation de services de traitement de données à caractère personnel n'aient été convenues entre les parties.

 

• S'il est mis fin à la prestation de services de traitement des données à caractère personnel et si les données à caractère personnel sont supprimées ou renvoyées au responsable du traitement des données conformément à la clause 11.1 et à l'annexe C.4, les clauses peuvent être résiliées par notification écrite de l'une ou l'autre des parties.

• Signature

 

Pour le compte du responsable du traitement des données

 

Nom : Kristian Boe Helweg Hansen

Titre : Responsable de la réussite des clients et de la Compliance

Mobile : +45 60843418

Courriel : kbhh@dataandmore.com

 

Signature Date: {{rawTimestamp}}

 

Pour le compte de l'utilisateur (le responsable du traitement)

 

SOCIÉTÉ

NOM

HORODATAGE
IP DE L'UTILISATEUR
EMAIL

• Contacts du responsable du traitement des données et du sous-traitant / points de contact

 

1. Les parties peuvent se contacter en utilisant les contacts/points de contact suivants :

 

1. Les parties sont tenues de s'informer mutuellement et en permanence des modifications apportées aux contacts/points de contact.

 

Nom : Kristian Boe Helweg Hansen

Titre : Responsable de la réussite des clients et de la Compliance

Mobile : +45 60843418

Courriel : kbhh@dataandmore.com

 

Pour obtenir une assistance technique, veuillez contacter 

 

Courriel : support@dataandmore.com

 

Annexe A Informations sur le traitement

 

1. L'objectif du traitement des données personnelles par le sous-traitant pour le compte du contrôleur est le suivant :

   1. Les finalités suivantes constituent la base du traitement des données à caractère personnel par le sous-traitant pour le compte du responsable du traitement : Le traitement des données à caractère personnel est effectué afin de nettoyer et d'aider à obtenir une vue d'ensemble des données contenant des informations personnelles identifiables (données PII) qui sont inutiles ou obsolètes dans le but de supprimer les données. Le sous-traitant assure l'assistance, la maintenance et l'entretien du serveur deCompliance Data & More situé dans les locaux du sous-traitant. 
      1. En outre, le traitement des données à caractère personnel est effectué pour atteindre les objectifs suivants : Le sous-traitant fournit des services de conseil pour soutenir la maintenance et l'entretien du serveur deCompliance Data & More situé dans les locaux du sous-traitant ou du responsable du traitement. 

2. Le traitement des données à caractère personnel par le sous-traitant pour le compte du responsable du traitement porte principalement sur (la nature du traitement) :

 

1. Le traitement des données à caractère personnel par le sous-traitant pour le compte du contrôleur porte principalement sur (la nature du traitement) : L'extraction et la structuration de diverses catégories de données à caractère personnel sensibles collectées dans le cadre de la fourniture du service. Cette extraction sera effectuée conformément aux instructions du responsable du traitement et concernera principalement des ensembles de données non structurées, y compris, mais sans s'y limiter, des comptes de courrier électronique, des lecteurs de partage de fichiers ou des systèmes équivalents. 
2. Lorsque le sous-traitant fournit des services de conseil, le traitement des données à caractère personnel implique généralement des activités limitées et spécifiques nécessaires pour remplir les obligations contractuelles convenues avec le responsable du traitement. Ces activités peuvent inclure Le sous-traitant fournit une assistance et assure la maintenance et l'entretien du serveur deCompliance Data & More situé dans les locaux du sous-traitant. 
3. Accès aux données si nécessaire : Le sous-traitant peut accéder aux données à caractère personnel pour analyser, diagnostiquer ou résoudre des problèmes liés aux systèmes ou aux services qu'il entretient ou améliore, toujours selon les instructions du responsable du traitement. 
4. Fournir une assistance technique : Les services de conseil peuvent exiger du sous-traitant qu'il interagisse avec les systèmes qui stockent ou traitent les données à caractère personnel afin de fournir des conseils, de mettre en œuvre des changements ou d'assurer la fonctionnalité. Ce traitement est limité à ce qui est strictement nécessaire pour fournir le service. 
5. Compliance des instructions : Le rôle du sous-traitant consiste uniquement à agir selon les instructions documentées du responsable du traitement. Le sous-traitant ne détermine pas la finalité ou les moyens du traitement, mais veille à ce que les services fournis soient conformes aux instructions du responsable du traitement et aux dispositions du présent accord. 
6. Mise en œuvre de garanties : Les données à caractère personnel traitées dans le cadre des services de conseil sont traitées en toute sécurité, avec des mesures en place pour protéger leur confidentialité, leur intégrité et leur disponibilité. Ces mesures comprennent des contrôles d'accès sécurisés, le cryptage et d'autres mesures techniques et organisationnelles requises par le GDPR et par les dispositions du présent accord. 
7. Interaction temporaire des données : Le traitement peut être temporaire ou accessoire, par exemple lors de tâches de dépannage ou de configuration. Le sous-traitant veille à ce qu'aucune donnée ne soit conservée au-delà de la portée du service, sauf accord explicite avec le responsable du traitement. 
8. Globalement, les services de conseil du sous-traitant impliquent un traitement strictement nécessaire et contrôlé des données à caractère personnel pour atteindre les objectifs définis par le responsable du traitement, dans le compliance total des principes du GDPR et des accords contractuels. 

1. Le traitement porte sur les types de données à caractère personnel suivants concernant les personnes concernées :

   1. adresse, coordonnées bancaires (détails de la carte ou informations sur le compte), documents de facturation et de comptabilité, date de naissance, courrier électronique, informations sur l'appareil utilisé par l'utilisateur, adresse IP, nom, mot de passe pour un ou plusieurs systèmes, numéro de téléphone, numéro de sécurité sociale, nom d'utilisateur pour un ou plusieurs systèmes, diverses données personnelles sur les systèmes des clients auxquels l'accès est accordé, diverses données personnelles fournies ou enregistrées par le client ou les clients du client sans que l'organisation les traite et les identifie activement, diverses données personnelles enregistrées dans le cadre de la fourniture du service et qui ne peuvent être définies avec précision.
   2. numéro de sécurité sociale, date de naissance, coordonnées bancaires (détails de la carte ou informations sur le compte), documents de facturation et de comptabilité, mot de passe pour un ou plusieurs systèmes, nom d'utilisateur pour un ou plusieurs systèmes, e-mail, adresse, numéro de téléphone, nom, adresse IP, informations sur l'appareil utilisé par l'utilisateur, diverses données personnelles fournies ou enregistrées par le client ou les clients du client sans que l'organisation les traite et les identifie activement, diverses données personnelles sur les systèmes des clients auxquels l'accès est accordé, diverses données personnelles enregistrées dans le cadre de la fourniture du service et qui ne peuvent être définies avec précision. 
   3. Diverses données personnelles sensibles qui sont enregistrées dans le cadre de la prestation du service et ne peuvent être définies avec précision. Diverses données personnelles relatives au salaire et à la rémunération qui sont enregistrées dans le cadre de la prestation du service et ne peuvent être définies avec précision.

2. Le traitement concerne les catégories suivantes de personnes concernées

   1. Les employés actuels, les anciens employés, les candidats ou les sujets potentiels pour le recrutement et l'embauche, les clients qui sont des consommateurs ou des propriétaires uniques, les employés et les partenaires des clients.
   2. (lorsque les clients sont des entreprises), les clients des clients et leurs employés (par exemple pour les fournisseurs de CRM), les fournisseurs qui sont des personnes ou des entreprises individuelles, les employés des fournisseurs (lorsque les fournisseurs sont des entreprises), les affiliés qui sont des personnes ou des entreprises individuelles, les employés des affiliés (lorsque les affiliés sont des entreprises), diverses catégories qui ne peuvent pas être identifiées à l'avance

3. Le traitement de données à caractère personnel par le sous-traitant pour le compte du contrôleur peut être effectué lorsque les clauses commencent à s'appliquer. Le traitement a la durée suivante :

   1. Le traitement des données à caractère personnel est effectué jusqu'à ce que les services du sous-traitant aient pris fin, après quoi les données à caractère personnel sont effacées conformément à la clause 10.1. Le traitement des données à caractère personnel par le sous-traitant est effectué tant que le ou les accords commerciaux sous-jacents sont en vigueur.

Annexe B Sous-traitants autorisés

1. Sous-traitants agréés

 

1.1 Dès l'entrée en vigueur des présentes clauses, le responsable du traitement autorise l'engagement des sous-traitants suivants :

Hetzner Online GmbH

DE812871812 Industriestr. 25,

91710 Gunzenhausen,

Allemagne

Back up / Centre d'hébergement Partenaire d'hébergement de serveurs pour Data & More ApS

 

1.2 Dès l'entrée en vigueur des clauses, le responsable du traitement autorise le recours aux sous-traitants secondaires susmentionnés pour le traitement décrit pour cette partie. Le sous-traitant n'a pas le droit - sans l'autorisation écrite explicite du contrôleur - d'engager un sous-traitant secondaire pour un traitement "différent" de celui qui a été convenu ou de demander à un autre sous-traitant secondaire d'effectuer le traitement décrit.

Annexe C Instruction relative à l'utilisation des données à caractère personnel

 

• Objet du traitement/instruction pour le traitement

 

1. Le sous-traitant traite des données personnelles en tant que consultant pour le compte du contrôleur afin de faciliter l'utilisation par le contrôleur du système informatique, Data & More Compliance Server, qui est géré par le sous-traitant. En vertu de cet accord de traitement des données, le sous-traitant est autorisé à accéder au Data & More Compliance Server pour effectuer des tâches de maintenance, de configuration et d'assurance qualité (QA) qui peuvent nécessiter le traitement de données personnelles relatives aux employés, clients et partenaires du contrôleur, dans le seul but d'accomplir ces tâches.

 

• Sécurité du traitement

 

1. Le niveau de sécurité tient compte des éléments suivants

1. Compte tenu de la nature, de la portée, du contexte et des finalités de l'activité de traitement ainsi que du risque pour les droits et libertés des personnes physiques, le sous-traitant doit mettre en œuvre un niveau de sécurité approprié.
2. Le sous-traitant a le droit et l'obligation de prendre des décisions concernant les mesures de sécurité techniques et organisationnelles à appliquer pour créer le niveau nécessaire (et convenu) de sécurité des données.
3. Le sous-traitant doit toutefois - en tout état de cause et au minimum - mettre en œuvre les mesures suivantes qui ont été convenues avec le responsable du traitement :

 

Sécurité organisationnelle 

Le sous-traitant met en œuvre les mesures de sécurité organisationnelles suivantes : 

1. Tous les employés du sous-traitant sont soumis à des obligations de confidentialité qui s'appliquent à tous les traitements de données à caractère personnel. 
2. Les employés ayant accès à des données personnelles sensibles ou à des systèmes informatiques critiques ont fait l'objet d'une habilitation de sécurité avant d'être embauchés. 
3. L'accès des employés aux données à caractère personnel est limité, de sorte que seuls les employés concernés ont accès aux données à caractère personnel nécessaires. 
4. Les employés du sous-traitant qui ont accès à des informations personnelles "sensibles" ou à des systèmes informatiques critiques ont fait l'objet d'une habilitation de sécurité avant d'être embauchés. 
5. Le traitement des données à caractère personnel effectué par les employés du sous-traitant est enregistré et peut être vérifié si nécessaire. 
6. Le transformateur dispose d'une politique de sécurité informatique. 
7. Le sous-traitant dispose de descriptions documentées des procédures à suivre en cas de violation de la sécurité des données à caractère personnel, qui sont révisées au moins une fois par an. 
8. Le sous-traitant a établi des procédures qui garantissent l'effacement correct ou la confidentialité continue lorsque le matériel est réparé, entretenu ou éliminé. i) Le sous-traitant a la possibilité de réagir aux violations par les employés de la sécurité des données du sous-traitant ou aux violations des instructions sur le traitement des données à caractère personnel conformément au droit du travail. 
9. Les employés du sous-traitant documentent et signalent régulièrement les violations de la sécurité des données à caractère personnel ou les risques qui y sont associés. 

 

Sécurité physique

Le sous-traitant met en œuvre les mesures de sécurité physique suivantes :

1. Les bureaux du transformateur peuvent être fermés à clé.
2. Le transformateur utilise des systèmes d'alarme pour détecter et prévenir les cambriolages.
3. Le transformateur utilise des alarmes incendie et des détecteurs de fumée pour détecter et prévenir les incendies.
4. Le transformateur a testé le plan de secours et d'évacuation en cas d'urgence.
5. Les appareils du processeur (y compris les PC, les serveurs, etc.) sont protégés par des portes verrouillées.
6. Le processeur et les visiteurs, etc., sont identifiés à l'aide de cartes d'identification.
7. Les locaux et installations du sous-traitant ou les voies d'accès font l'objet d'une surveillance vidéo ou visuelle.
8. Le processeur utilise un processus ou un système de vérification pour contrôler l'identité des visiteurs.
9. Le sous-traitant utilise la gestion des clés, c'est-à-dire qu'il fournit des clés aux employés concernés et nécessaires, etc.
10. La réception est ouverte 24 heures sur 24, 7 jours sur 7, et une société de sécurité intervient en dehors des heures de bureau.
11. Le(s) bâtiment(s) du processeur est (sont) divisé(s) en zones d'accès, après quoi des cartes d'accès sont nécessaires pour accéder aux zones.
12. Les visiteurs du processeur font l'objet d'un protocole.
13. Les employés du transformateur doivent être munis d'une carte d'identité.

Le niveau de sécurité doit tenir compte du volume important de données à caractère personnel traitées

ainsi que la grande confidentialité des informations traitées et exigent donc un niveau de sécurité élevé.

Sécurité technique : Accès et protection des systèmes informatiques

Le sous-traitant met en œuvre les mesures de sécurité technique suivantes en ce qui concerne l'accès aux systèmes informatiques et leur protection :

1. Le processeur utilise un contrôle d'accès logique avec un nom d'utilisateur et un mot de passe ou une autre autorisation unique.
2. Le processeur utilise des programmes antivirus régulièrement mis à jour.
3. Le processeur enregistre et contrôle les tentatives de connexion non autorisées ou les échecs répétés.
4. Le sous-traitant demande aux employés d'utiliser des mots de passe individuels.
5. Les ordinateurs du processeur sont dotés d'une protection d'accès automatique en cas d'inactivité.

économiseur d'écran verrouillé.

1. Le sous-traitant a mis en place des politiques pour la composition des mots de passe, y compris des exigences minimales.
2. Il existe des procédures pour révoquer les autorisations lorsqu'un employé cesse de travailler ou change de service.
3. Il existe des procédures d'octroi d'autorisations aux systèmes informatiques lors de l'embauche de nouveaux employés.

Le niveau de sécurité tient compte de la grande quantité de données à caractère personnel traitées ainsi que de la grande confidentialité des informations traitées et exige donc un niveau de sécurité élevé.

Sécurité technique : Accès aux données personnelles

Le sous-traitant met en œuvre les mesures de sécurité technique suivantes concernant l'accès aux données à caractère personnel :

1. Le responsable du traitement examine régulièrement les contrôles du système.
2. Le sous-traitant accorde à des personnes ou à des groupes d'utilisateurs des autorisations d'accès, de modification et de suppression des données à caractère personnel traitées.
3. Le processeur dispose d'une ou de plusieurs procédures pour restaurer les données à partir d'une sauvegarde.
4. Le responsable du traitement examine et vérifie régulièrement les autorisations des utilisateurs pour des systèmes spécifiques.
5. Le processeur enregistre et contrôle les tentatives non autorisées ou répétées d'effacement des données.
6. Le processeur enregistre et contrôle les tentatives d'accès aux données non autorisées ou les tentatives répétées et infructueuses.
7. Le sous-traitant dispose d'une traçabilité de l'accès, de la modification et de l'effacement des données par les utilisateurs individuels.

Le niveau de sécurité tient compte de la grande quantité de données à caractère personnel traitées ainsi que de la grande confidentialité des informations traitées et exige donc un niveau de sécurité élevé.

Sécurité technique : Cryptage

Le sous-traitant met en œuvre les mesures de sécurité technique suivantes en matière de cryptage :

1. Les mots de passe stockés sur les ordinateurs du processeur, etc. sont cryptés.
2. Le contenu des disques durs externes et des clés USB, etc. est crypté lorsque ces supports contiennent des informations personnelles ou sensibles.
3. Le réseau est crypté.
4. Les ordinateurs du processeur sont équipés de disques durs cryptés.
5. Le processeur crypte les données à caractère personnel dans les systèmes et/ou sur les appareils.
6. Le processeur crypte les données personnelles sensibles dans les systèmes et/ou sur les appareils.
7. Les sites web et les formulaires web du processeur utilisent des certificats SSL / HTTPS (Hyper Text Transfer Protocol Secure).

Voir le document complémentaire sur la politique de sécurité du réseau DAM.

Sécurité technique : Protection des données personnelles pendant la transmission

Le sous-traitant met en œuvre les mesures de sécurité technique suivantes concernant la protection des données à caractère personnel pendant leur transmission :

1. Le processeur utilise et applique des lignes directrices en matière de courrier électronique sécurisé.
2. Les courriels sortants contenant des données personnelles sensibles ou des informations sur des sujets purement privés sont cryptés.
3. Le sous-traitant dispose de lignes directrices pour l'utilisation des courriels professionnels, notamment en ce qui concerne l'utilisation à des fins privées, l'utilisation appropriée, le cryptage, l'utilisation sécurisée, etc.

Sécurité technique : Disponibilité et robustesse

Le sous-traitant met en œuvre les mesures de sécurité technique suivantes en ce qui concerne la disponibilité et la robustesse :

1. L'accessibilité et la robustesse des systèmes et serveurs du sous-traitant sont sécurisées par un tiers avec lequel le sous-traitant a conclu un accord.
2. Seuls les employés autorisés ont accès aux serveurs du processeur.
3. Les salles de serveurs sont équipées de détecteurs de fumée et d'extincteurs.
4. La salle des serveurs est équipée d'un système de climatisation.
5. Il existe des règles et des lignes directrices pour la sauvegarde des données.
6. Il existe des règles et des lignes directrices pour la restauration de données à partir d'une sauvegarde.
7. Des sauvegardes sont effectuées régulièrement (en interne ou chez le fournisseur).
8. Alerte active en cas de tentatives non autorisées d'accès aux salles de serveurs et/ou aux systèmes de traitement et aux données.
9. Un système d'alimentation sans interruption (UPS) est utilisé.
10. Surveillance de la température et de l'humidité dans les salles de serveurs.
11. Le sous-traitant dispose de descriptions de procédures en cas de violation de la sécurité des données à caractère personnel, qui sont révisées au moins une fois par an.

1. Assistance au contrôleur

 

3.1 Le sous-traitant doit, dans la mesure du possible - dans le cadre et l'étendue de l'assistance spécifiée ci-dessous - aider le responsable du traitement conformément aux clauses 8.1, 9.1 et 9.2 en mettant en œuvre les mesures techniques et organisationnelles suivantes :

 

1. Si le responsable du traitement reçoit une demande d'exercice de l'un des droits des personnes concernées conformément à la législation applicable en matière de protection des données et qu'une réponse appropriée à la demande nécessite l'assistance du sous-traitant, ce dernier assiste le responsable du traitement en lui fournissant les informations et la documentation nécessaires et pertinentes, ainsi que les mesures de sécurité techniques et organisationnelles appropriées.
2. Si le responsable du traitement a besoin de l'aide du sous-traitant pour répondre à une demande d'une personne concernée, le responsable du traitement doit envoyer une demande d'aide écrite au sous-traitant et ce dernier doit fournir l'aide ou la documentation nécessaire dans les meilleurs délais et au plus tard dans les sept jours civils suivant la réception de la demande.
3. Si le sous-traitant reçoit une demande d'exercice des droits en vertu de la législation applicable en matière de protection des données de la part d'autres personnes que le contrôleur, et que la demande concerne des données à caractère personnel traitées pour le compte du contrôleur, le sous-traitant transmet la demande au contrôleur dans les plus brefs délais.

 

4. Période de stockage/procédures d'effacement

4.1 Au terme de la prestation de services de traitement de données à caractère personnel, le sous-traitant supprime les données à caractère personnel conformément à la clause 10.1, à moins que le responsable du traitement n'ait modifié - après la signature du contrat - le choix initial du responsable du traitement. Cette modification doit être documentée et conservée par écrit, y compris sous forme électronique, en relation avec les clauses.

5. Lieu de traitement

5.1 Le traitement des données à caractère personnel en vertu des présentes clauses ne peut être effectué dans d'autres lieux que les suivants sans l'autorisation écrite préalable du contrôleur :

Hetzner Online GmbH,

Numéro de TVA : DE812871812 DE812871812 Industriestr. 25

91710 Gunzenhausen en Allemagne

6. Instruction sur le transfert de données à caractère personnel vers des pays tiers

6.1 Les données à caractère personnel ne sont traitées par le sous-traitant que sur les sites spécifiés dans la clause C.5. Le sous-traitant ne transfère pas de données à caractère personnel à des pays tiers ou à des organisations internationales.

6.2 Si le responsable du traitement ne fournit pas d'instructions documentées dans les présentes clauses ou ultérieurement en ce qui concerne le transfert de données à caractère personnel vers un pays tiers, le sous-traitant n'est pas autorisé à effectuer de tels transferts dans le cadre des présentes clauses.

6.3 Le transfert de données à caractère personnel ne peut, dans tous les cas, être effectué que conformément aux présentes clauses, sur instruction du responsable du traitement et dans la mesure où la législation applicable en matière de protection des données le permet.

6.4 Lorsque, conformément aux présentes clauses, le sous-traitant transfère des données à caractère personnel à des sous-traitants de données secondaires dans des pays tiers situés en dehors de l'UE/EEE, le sous-traitant doit garantir de manière indépendante une base juridique pour le transfert conformément au chapitre 5 du GDPR.

7. Procédures d'audit, y compris d'inspection, par le contrôleur du traitement des données à caractère personnel effectué par le sous-traitant

7.1 Sur demande écrite du responsable du traitement, le sous-traitant documente au responsable du traitement que le sous-traitant

7.1.1 respecte les obligations qui lui incombent en vertu des présentes clauses et de l'instruction, et

7.1.2 avec les articles pertinents du GDPR en ce qui concerne les données personnelles traitées au nom du contrôleur.

 

7.2 Selon la clause C.7.1 La documentation du sous-traitant est envoyée au responsable du traitement dans un délai raisonnable à compter de la réception de la demande.

 

7.3 Le sous-traitant doit fournir au responsable du traitement des documents attestant du compliance permanent des dispositions. Ces rapports d'auto-audit doivent être préparés au moins une fois par an et doivent suivre les principes et les objectifs de contrôle de la norme d'audit ISAE 3000, telle qu'établie par le Cadre stratégique commun (CSF) - Auditeurs danois et l'Agence danoise de protection des données et ISAE 3402 (et/ou d'autres normes internationalement reconnues telles que ISO/IEC 27701:2019). Les rapports d'auto-audit peuvent être réalisés dans le cadre de la collecte d'informations par le responsable du traitement et doivent être signés par la direction du sous-traitant. Afin de répondre aux besoins du responsable du traitement en matière de connaissance et d'assurance du traitement sécurisé des données à caractère personnel par le sous-traitant, le sous-traitant doit vérifier tous les 12 mois le compliance clauses par le sous-traitant, y compris les mesures de sécurité spécifiées mises en œuvre, par un tiers externe indépendant, et envoyer les dossiers complets au responsable du traitement.

 

7.4 Indépendamment de la clause C.7.3Le sous-traitant doit en outre prévoir des audits et des inspections, effectués par des auditeurs désignés par le contrôleur, les autorités publiques de la juridiction compétente, et y contribuer, dans la mesure nécessaire pour vérifier le compliance par le sous-traitant des présentes clauses et de la législation applicable en matière de protection des données. L'auditeur en question doit être soumis à la confidentialité en vertu de la loi ou d'un accord. Le responsable du traitement doit notifier les audits par écrit dans un délai de 14 jours civils.

8. Procédures d'audit, y compris d'inspection, du traitement des données à caractère personnel effectué par les sous-traitants ultérieurs.

 

8.1 Au moins tous les 12 mois, le sous-traitant effectue, à ses frais, un audit des sous-traitants secondaires du sous-traitant et soumet au responsable du traitement la documentation relative à cet audit.

8.2 Les parties conviennent que le rapport d'assurance ISAE 3000 de l'auditeur indépendant peut être utilisé à cette fin.

 

C.8. [LE CAS ÉCHÉANT] Procédures d'audit, y compris d'inspection, du traitement des données à caractère personnel effectué par les sous-traitants ultérieurs

Le sous-traitant obtient chaque année, aux frais du sous-traitant, un [RAPPORT D'AUDIT/ RAPPORT D'INSPECTION] d'un tiers indépendant concernant le compliance par le sous-traitant ultérieur du GDPR, des dispositions applicables de l'UE ou de l'État membre en matière de protection des données et des Clauses.

Les parties sont convenues que les types suivants de [RAPPORT DU CONTRÔLEUR/ RAPPORT D'INSPECTION] peuvent être utilisés compliance aux clauses :

• Rapport d'audit de Hetzner TUEV 
• Certificats ISO/IEC 27001:2013 mis à jour
• compliance RGPD Art 28 et 32 documentation

Le RAPPORT DU CONTRÔLEUR est soumis dans les meilleurs délais au responsable du traitement des données pour information. Le responsable du traitement peut contester la portée et/ou la méthodologie du rapport et peut, dans ce cas, demander un nouvel audit/inspection avec une portée révisée et/ou une méthodologie différente.

Sur la base des résultats de cet audit/inspection, le responsable du traitement peut demander que des mesures supplémentaires soient prises pour garantir le compliance du GDPR, des dispositions applicables de l'UE ou des États membres en matière de protection des données et des Clauses.

Le responsable du traitement des données ou son représentant a en outre accès à l'inspection, y compris physique, des lieux où le traitement des données à caractère personnel est effectué par le sous-traitant ultérieur, y compris les installations physiques ainsi que les systèmes utilisés pour le traitement et liés à celui-ci. Cette inspection est effectuée lorsque le sous-traitant (ou le responsable du traitement) l'estime nécessaire.

Les documents relatifs à ces inspections sont soumis sans délai au responsable du traitement des données pour information. Le responsable du traitement peut contester la portée et/ou la méthodologie du rapport et peut, dans ce cas, demander une nouvelle inspection avec une portée révisée et/ou une méthodologie différente".

Le responsable du traitement peut, si nécessaire, choisir d'initier et de participer à une inspection physique du sous-traitant ultérieur. Cela peut s'appliquer si le responsable du traitement des données estime que la supervision du sous-traitant par le sous-traitant n'a pas fourni au responsable du traitement des données une documentation suffisante pour déterminer que le traitement par le sous-traitant est effectué conformément aux Clauses.

La participation du responsable du traitement à une inspection du sous-traitant ultérieur ne change rien au fait que le sous-traitant ultérieur continue d'assumer l'entière responsabilité du compliance par le sous-traitant ultérieur du GDPR, des dispositions applicables de l'UE ou des États membres en matière de protection des données et des Clauses".

Les coûts du sous-traitant et du sous-traitant ultérieur liés à la supervision/inspection physique des installations du sous-traitant ultérieur ne concernent pas le responsable du traitement des données, que ce dernier ait ou non pris l'initiative de cette inspection et y ait ou non participé.    

• L'accord sur le traitement des données ne règle pas d'autres questions.