Mentions légales
Dans le cadre du Contrat, le Client est susceptible de transférer au Prestataire des données à caractère personnel afin en particulier de permettre aux apprenants d’accéder aux Modules.
La présente annexe complète le Contrat et a pour objet de mettre en conformité le Contrat avec la Réglementation Applicable (telle que définie ci-dessous) et en particulier de définir les conditions dans lesquelles le Prestataire s’engage à effectuer pour le compte du Client les opérations de traitement de données à caractère personnel (les « Données ») inhérentes et/ou nécessaires pour pouvoir bénéficier des Prestations.
Le Client est, au sens de la réglementation sur la protection des données, responsable du ou des traitements de données à caractère personnel mis en œuvre sur les Données.
Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel, et, en particulier, la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après la « Réglementation Applicable »).
1. Description du traitement faisant l’objet de la sous-traitance
Le Prestataire est autorisé à traiter pour le compte du Client les Données à caractère personnel nécessaires pour fournir les Prestations.
Les détails des opérations de traitement, et notamment les catégories de Données et les finalités du traitement pour lesquelles les Données sont traitées sont précisées ci-après.
Les traitements visent à permettre au Prestataire de fournir les Prestations. Les finalités du traitement sont donc principalement les suivantes :
- Création et gestion des comptes pour les apprenants ;
- Remontée des scores des apprenants.
La nature des opérations réalisées sur les données est la transmission, le traitement et le stockage des Données.
Les Données sont conservées tant que le Client ou l’apprenant dispose d’un compte non clôturé et dans un délai de trois mois maximum suivant la date de clôture. Le Prestataire se réserve toutefois de procéder à l’archivage des Données qu’il a pu être amené à collecter en exécution des présentes, pour la durée de prescription des actions en responsabilité.
Les types de données à caractère personnel traitées sont :
- les adresses mails des apprenants, ainsi que celle de l’interlocuteur du Client,
- le score et le nombre de passage des tests par les apprenants,
- les données de connexion (à des fins de sécurité).
Les catégories de personnes concernées sont les suivantes : les apprenants du Client et/ou l’interlocuteur du Prestataire au sein du Client.
2. Obligations du Prestataire vis-à-vis du Client
Le Prestataire s’engage à :
- traiter les Données uniquement pour les seules finalités qui font l’objet de la sous-traitance ;
- traiter les Données conformément aux instructions du Client.
- Si le Prestataire considère qu’une instruction constitue une violation de la Réglementation Applicable ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Client.
- En outre, si le Prestataire est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
- mettre en œuvre les moyens utiles pour assurer la confidentialité et la sécurité des Données traitées dans le cadre des prestations ;
- veiller à ce que les personnes autorisées à traiter les Données :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
- prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des Données par défaut.
3. Sous-traitance
Le Prestataire peut faire appel à un sous-traitant (ci-après le « sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe le Client de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au Client la possibilité d’émettre des objections à l’encontre de ces changements.
Le sous-traitant ultérieur est tenu de respecter les obligations des présentes pour le compte et selon les instructions du Client. Il appartient au Prestataire de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la Réglementation Applicable.
Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Prestataire, sous-traitant initial, est et demeure pleinement responsable vis-à-vis du Client de l’exécution par son sous-traitant de ses obligations.
4. Droit d’information des personnes concernées
Il appartient au Client de fournir l’information aux personnes concernées par les opérations de traitement.
5. Exercice des droits des personnes
Dans la mesure du possible, le Prestataire doit aider le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du Prestataire des demandes d’exercice de leurs droits, le Prestataire doit adresser ces demandes au Client.
6. Notification des violations de Données
Le Prestataire notifie au Client toute violation de Données dans les meilleurs délais après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
7. Localisation des serveurs
Les serveurs utilisés par le Prestataire sont situés dans l’Espace Économique Européen ou dans un pays reconnu comme assurant un niveau de protection adéquat.
8. Aide du Prestataire dans le cadre du respect par le Client de ses obligations
Le Prestataire aide le Client pour la réalisation d’analyses d’impact relative à la protection des données.
Le Prestataire aide le Client pour la réalisation de la consultation préalable de l’autorité de contrôle.
Le Prestataire met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le Client ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
Les différentes actions et prestations réalisées par le Prestataire dans le cadre des présentes sont facturées au temps passé, par application du taux horaire ou journalier du Prestataire au jour de réalisation desdites actions et prestations.
9. Registre des activités de traitement
Le Prestataire déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client comprenant :
- le nom et les coordonnées du Client, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
- les catégories de traitements effectués pour le compte du Client, dans la mesure du possible ;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du Règlement, les documents attestant de l’existence de garanties appropriées ;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.
10. Sort des données
Le Prestataire s’engage à détruire les Données conformément aux stipulations concernant la durée figurant à l’article 1 des présentes.
11. Obligations du Client vis-à-vis du Prestataire
Le Client s’engage à :
– documenter par écrit toute instruction concernant le traitement des données par le Prestataire ;
– veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par la Réglementation Applicable de la part du Prestataire ;
– superviser les traitements.