Politique RGPD
Veuillez trouver ci-dessous la politique RGPD de Proselis, selon votre statut :
Politique RGPD à destination des Clients Responsables de traitement
1. Préambule
Notre « Politique RGPD » s’inscrit dans le cadre du respect de l’article 28 du Règlement général sur la protection des données à caractère personnel qui impose que soient définies un certain nombre de règles entre le responsable de traitement (vous) et le sous-traitant (nous).
2. Objet
La présente politique vise à définir nos droits et obligations respectifs au regard de la protection des données à caractère personnel.
3. Portée
La présente politique s’applique lorsque nous agissons comme « sous-traitant » au sens du RGPD. Certaines de nos prestations sont considérées comme relevant de la sous-traitance notamment mais non exclusivement : hébergement, maintenance, vidéosurveillance, centre d’appel, sécurité, etc…
La présente politique est considérée comme un document à valeur contractuelle qui s’impose aux parties et ne modifie pas pour autant les termes des contrats conclus.
En cas d’écart entre la présente politique et le ou les contrats conclus entre nous ou nos conditions générales/particulières, cette dernière primera s’agissant de la seule question du traitement des données à caractère personnel.
4. Identification du traitement
Il vous appartient d’identifier avec précision les traitements auxquels nous pouvons avoir accès. Pour plus de précisions sur la nature des opérations réalisées, les finalités du traitement, les données et personnes concernées, il est fait renvoi à notre contrat de prestations de services ou nos conditions générales/particulières.
5. Instructions du client
Au titre du RGPD, nous sommes tenus de vous informer immédiatement si l’une de vos instructions nous paraît constituer une violation de la règlementation en matière de données à caractère personnel. Nous ne serons pas tenus de satisfaire à de telles instructions
6. Nos Obligations
En notre qualité de sous-traitant nous nous engageons à :
– accéder et traiter vos données à caractère personnel conformément à vos instructions ;
– accéder et traiter vos données pour les seules prestations définies entre nous ;
– vous adresser sans délais toute demande émanant d’une personne concernée par un traitement qui nous aurait saisis directement afin que vous puissiez lui répondre en temps utile.
Afin de satisfaire aux obligations du RGPD, nous avons notifié à notre personnel un code de bonne conduite et mettons en œuvre des mesures de sensibilisation régulières.
7. Vos Obligations
En votre qualité de responsable de traitement, il vous appartient de nous communiquer par tout moyen les instructions que nous devons suivre dans le cadre de l’accès et le cas échéant de l’usage de vos données.
Les instructions fournies ne peuvent en aucun cas avoir pour objet ou pour effet de modifier le service auquel vous avez souscrit.
Vous vous engagez par ailleurs :
– à vous conformer à la règlementation applicable en matière de données à caractère personnel en votre qualité de responsable de traitement et nous tenir garant de toute poursuite où condamnation ;
– à garantir que les données auxquelles nous accédons ou que nous traitons pour votre compte sont les vôtres ou à défaut que vous disposez de toutes les autorisations nécessaires ;
– à nous faire part de toute évolution sur vos traitements de données qui pourraient avoir un impact sur la mise en œuvre et le respect de la présente politique ;
– à nous fournir si vous en avez désigné un les coordonnées de votre DPO ou référent RGPD ;
– à nous fournir en tant que de besoin les informations nécessaires à la tenue de notre registre des traitements de données en qualité de sous-traitant.
8. Obligation de sécurité
Chaque partie met en œuvre les mesures techniques et organisationnelles appropriées de nature à sécuriser et protéger les traitements de données à caractère personnel.
Nous vous proposons à ce titre une palette de solutions techniques et fonctionnelles mais vous êtes seul décisionnaire de la mise en œuvre ou non de ces mesures.
Il vous appartient d’évaluer vos risques et la manière de les traiter.
Vous devez en permanence vous assurer que les profils utilisateurs sont correctement paramétrés – de même tous les codes doivent être paramétrés (ne pas conserver les codes constructeurs ou opérateurs) et modifiés de manière régulière. Vous devez porter une attention particulière a votre flotte mobile
9. Violation de sécurité
Si nous identifions au sens de nos services une violation de sécurité, nous nous engageons à vous en aviser sans délais afin que vous puissiez réaliser vous-même la notification à la Cnil. Nous nous engageons à vous communiquer toutes les informations nécessaires pour satisfaire à cette obligation de notification.
En cas de violation de données à caractère personnel sur vos propres équipements, vous êtes tenu de nous en aviser sans délais si cette violation est susceptible d’impacter la fourniture de notre prestation.
10. Sous-traitance ultérieure
Vous nous autorisez à avoir recours à nos propres sous-traitants (sous-traitants ultérieurs). Nous vous garantissons que le sous-traitant que nous choisissons est lui-même conforme au RGPD.
11. Flux transfrontières
Nous nous réservons le droit de procéder, dans le cadre de nos prestations, à des flux de données transfrontières hors de l’EU, mais vous garantissons le respect par l’entité locale désignée (une filiale de notre société ou un prestataire tiers) du respect du droit des données à caractère personnel.
12. Fin du contrat
À l’expiration du contrat et au plus tard le dernier jour du contrat, il vous appartient de nous indiquer si nous devons supprimer ou vous restituer les données à caractère personnel. Une fois les données supprimées ou restituées nous n’en gardons aucune copie et ne serons donc pas en mesure de vous adresser une nouvelle copie des données.
13. Contrôle de la Cnil
Nous nous engageons à nous informer mutuellement d’un éventuel contrôle de la Cnil et prendrons, au besoin, les mesures nécessaires pour répondre aux questions posées par l’autorité de contrôle.
14. Audit
Vous pouvez auditer notre conformité aux obligations définies aux présentes une fois par an.
Sauf en cas de violation de sécurité avérée, cet audit est réalisé par la voie d’un questionnaire de conformité que vous voudrez bien nous adresser à la date d’anniversaire de notre contrat.
En cas de violation de données, cet audit peut être réalisé sous la forme d’une inspection sur place dont les conditions seront définies d’un commun accord.
15. Registre des traitements
En fonction des seuils définis par le RGPD, chaque partie est tenue pour ce qui la concerne de tenir un registre des opérations de traitements. Chaque partie s’engage à communiquer à l’autre, à première demande, toutes les informations nécessaires à la tenue dudit registre.
16. Responsabilité
Conformément à l’article 82 du RGPD, notre responsabilité en tant que sous-traitant ne peut être engagée que dans les cas limitatifs suivants :
– nous n’avons pas respecté les obligations prévues dans le RGPD qui nous incombent spécifiquement en tant que sous-traitants ou ;
– nous avons agi en-dehors de vos instructions documentées ou ;
– nous avons agi contrairement à vos instructions écrites.
Dans tous les cas, la réparation du préjudice et le plafond de réparation sont ceux définis dans notre contrat de prestation ou nos conditions générales/particulières.
17. Révision
En cas d’évolution règlementaire ou de recommandations de la Cnil, nous nous réservons le droit de modifier la présente politique. Toute nouvelle politique vous est notifiée avant son entrée en vigueur.
Politique RGPD à destination des Sous-traitants
1. Préambule
Notre « Politique RGPD » s’inscrit dans le cadre du respect de l’article 28 du Règlement général sur la protection des données à caractère personnel qui impose que soient définies un certain nombre de règles entre le responsable de traitement (nous) et le sous-traitant (vous).
2. Objet
La présente politique vise à définir nos droits et obligations respectifs au regard de la protection des données à caractère personnel.
3. Portée
La présente politique s’applique lorsque nous agissons comme « responsable de traitement » au sens du RGPD et que nous recourons à des prestataires de services agissant en qualité de « sous-traitants ».
La présente politique est considérée comme un document à valeur contractuelle qui s’impose aux parties et ne modifie pas pour autant les termes des contrats conclus.
En cas d’écart entre la présente politique et le ou les contrats conclus entre nous ou nos conditions générales/particulières, cette dernière primera s’agissant de la seule question du traitement des données à caractère personnel.
4. Identification du traitement
Il nous appartient d’identifier avec précision les traitements auxquels nous vous donnons accès. Pour plus de précisions sur la nature des opérations réalisées, les finalités du traitement, les données et personnes concernées, il est fait renvoi à notre contrat de prestations de services ou nos conditions générales/particulières.
5. Déclaration du sous-traitant
Vous déclarez présenter toutes les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.
6. Respect de nos instructions
Vous vous engagez à ne traiter nos données que dans le respect des instructions écrites et documentées que nous vous communiquerons au fur et à mesure de l’exécution de la prestation.
Si l’une de nos instructions vous paraît constituer une violation du RGPD ou d’autres dispositions relatives à la protection des données à caractère personnel, vous vous engagez à nous en informer immédiatement et dans un délai raisonnable.
7. Nos Obligations
Nous nous engageons à vous fournir toutes les informations et instructions écrites documentées nécessaires à la bonne exécution de votre prestation et à vous indiquer toute évolution éventuelle des traitements.
En contrepartie, nous disposons du droit de solliciter votre assistance sur l’ensemble des paramètres d’application du RGPD (droit des personnes concernées, mesures de sécurité, violation de données, coopération avec la Cnil) et du droit de vous demander communication de tout élément ou pièce permettant de garantir que vous respectez le RGPD et la présente politique, et de réaliser des audits et/ou des inspections pour nous en assurer.
8. Confidentialité renforcée
Vous vous engagez à assujettir votre personnel susceptible d’accéder à nos données à caractère personnel à un engagement de confidentialité et à les former sur les mesures de sécurité à mettre en œuvre.
Vous devez être en mesure de nous communiquer la liste des personnes susceptibles d’accéder à nos données à première demande.
9. Obligation de sécurité
Vous êtes tenu de mettre en œuvre les mesures techniques et organisationnelles appropriées de nature à lutter contre la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou contre l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
Vous vous engagez à nous présenter un descriptif des mesures techniques et organisationnelles que vous mettez en œuvre. Vous vous engagez à tenir ce document à jour et à tenir compte des évolutions technologiques. Toute modification de ce descriptif devra être portée à notre connaissance.
10. Violation de sécurité
Si vous identifiez au sens de nos services une violation de sécurité, vous vous engagez à nous en aviser sans délais afin que nous puissions respecter notre obligation de notification de celle-ci à la Cnil. Vous vous engagez à nous communiquer toutes les informations nécessaires pour satisfaire à cette obligation de notification.
En cas de violation de données à caractère personnel sur nos propres équipements, nous vous en aviserons sans délai si cette violation est susceptible d’impacter la fourniture de la prestation prévue dans le contrat de prestation de services.
11. Sous-traitance ultérieure
Vous n’êtes autorisé à recruter d’autres sous-traitants dans le cadre du traitement mis en œuvre pour notre compte qu’avec notre accord écrit et préalable.
Dans tous les cas, vous vous engagez à recruter un sous-traitant présentant des garanties suffisantes quant la mise en œuvre du RGPD et à signer avec ce denier un contrat lui imposant les mêmes obligations que celles fixées aux présentes.
12. Flux transfrontières
Aucun transfert de données à caractère personnel ne peut intervenir hors de l’Union européenne sans notre accord préalable, exprès et spécial.
En cas d’accord de notre part, vous vous engagez à respecter l’ensemble des obligations en matière de transfert de données vers un pays tiers à l’Union européenne (acte juridique contraignant, clauses contractuelles types ou BCR).
13. Fin du contrat
À l’expiration du contrat et au plus tard le dernier jour du contrat, nous vous indiquerons si vous devez supprimer ou nous restituer les données à caractère personnel. Une fois les données supprimées ou restituées, vous vous engagez à n’en garder aucune copie et ne serez donc pas en mesure de nous adresser une nouvelle copie des données.
14. Contrôle de la CNIL
Nous nous engageons à nous informer mutuellement d’un éventuel contrôle de la CNIL et prendrons, au besoin, les mesures nécessaires pour répondre aux questions posées par l’autorité de contrôle.
15. Audit
Nous nous réservons le droit d’auditer votre conformité aux obligations définies aux présentes une fois par an.
Sauf en cas de violation de sécurité avérée, cet audit est réalisé par la voie d’un questionnaire de conformité que nous vous adresserons à la date d’anniversaire de notre contrat.
En cas de violation de données, cet audit peut être réalisé sous la forme d’une inspection sur place dont les conditions seront définies d’un commun accord.
16. Registre des traitements
En fonction des seuils définis par le RGPD, chaque partie est tenue pour ce qui la concerne de tenir un registre des opérations de traitement. Chaque partie s’engage à communiquer à l’autre, à première demande, toutes les informations nécessaires à la tenue dudit registre.
17. Responsabilité
Conformément à l’article 82 du RGPD, vous êtes tenu pour responsable du dommage causé par le traitement dès lors que :
- Vous n’avez pas respecté les obligations prévues dans le RGPD qui vous incombent spécifiquement en tant que sous-traitant ou ;
- Vous avez agi en-dehors de nos instructions écrites et documentées ou ;
- Vous avez agi contrairement à nos instructions écrites et documentées.
Dans tous les cas, la réparation du préjudice et le plafond de réparation sont ceux définis dans le contrat de prestation ou les conditions générales ou particulières.
17. Révision
En cas d’évolution règlementaire ou de recommandations de la CNIL, nous nous réservons le droit de modifier la présente politique. Toute nouvelle politique vous est notifiée avant son entrée en vigueur.
Politique RGPD à destination des Sous-traitants ultérieurs
1. Préambule
Le règlement général sur la protection des données à caractère personnel (RGPD) impose un cadre juridique précis entre le sous-traitant (nous) et son propre sous-traitant (vous), communément appelé par la Cnil le « sous-traitant ultérieur ».
Il s’agit des cas particuliers où nous sommes amenés à traiter, héberger ou accéder aux données de nos clients (sous-traitance) et où nous vous confions la réalisation d’une partie de ces prestations.
2. Objet
La présente politique a pour objet de définir nos droits et obligations respectifs au regard des dispositions fixées par le RGPD et la règlementation française en matière de traitement de données à caractère personnel.
La présente politique est considérée comme un document à valeur contractuelle mais elle ne modifie en aucun cas le contrat qui nous lie. En cas d’écart entre la présente politique et le ou les contrats conclus entre nous, cette dernière primera s’agissant de la seule question du traitement des données à caractère personnel.
3. Nos obligations
Au titre du RGPD il nous appartient :
- de nous assurer que vous présentez les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD ;
- de donner le cas échéant la liste de nos sous-traitants à notre client et au besoin obtenir une autorisation de sa part ;
- de procéder le cas échéant à des audits, en ce compris des inspections, pour vérifier que vous appliquez correctement les mesures prises et que vous respectez vos engagements au titre de la présente politique ;
- à vous transmettre en tant que de besoin les instructions documentées que notre client nous a communiquées en application du RGPD pour la partie des prestations qui vous concerne.
4. Vos obligations
Au titre du RGPD vous vous engagez :
- à vous conformer au RGPD et mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données de notre client auxquelles vous aurez accès ;
- à sensibiliser votre personnel et lui faire signer un engagement de confidentialité ;
- à répondre à tout questionnaire d’audit et à accepter que nous procédions, sur demande de notre client ou de notre propre initiative, à une inspection pour vérifier la bonne application des présentes et plus généralement du RGPD ;
- respecter les instructions documentées de nos clients qui auront été portées à votre connaissance ;
- nous informer sans délais si une instruction du client n’est pas conforme avec le RGPD ;
5. Responsabilité
Au regard du RGPD nous sommes responsables vis-à-vis de notre client de la bonne exécution de la présente politique.
Ceci étant précisé, toute violation de la présente politique, des instructions du client et d’une manière générale de la règlementation relative au droit des données à caractère personnel constituerait une faute grave qui engagerait votre propre responsabilité vis-à-vis de nous et vis-à-vis de notre client.
6. Sous-traitance
Il vous est fait interdiction formelle de sous-traiter tout ou partie des prestations dont nous vous avons confié la charge. En cas de violation de cette interdiction, vous serez seul responsable vis-à-vis de notre client et serez tenu de nous garantir contre tout recours et toute condamnation.
Si de manière exceptionnelle vous étiez autorisé de manière expresse à procéder à une sous-traitance partielle, il est convenu que :
- vous vous engager à faire signer les mêmes engagements que ceux figurant dans cette politique à votre sous-traitant ;
- vous vous portez garant de l’application du RGPD par ledit sous-traitant.
7. Violation de sécurité
En cas de violation de sécurité ou de suspicion de violation de sécurité vous vous engagez à :
- prendre toutes les mesures nécessaires pour mettre un terme à cette violation ;
- nous informer sans délais de cette violation à compter du moment où vous en avez connaissance et nous donner toutes les informations nécessaires pour que nous puissions nous même procéder à une notification de ladite violation à notre client.
8. Flux transfrontières
Vous vous interdisez tout flux transfrontières (c’est-à-dire hors EU) de données à caractère personnel.
9. Fin du contrat
À l’expiration du contrat qui nous lie et au plus tard le dernier jour du contrat, il vous appartient de nous restituer l’ensemble des données à caractère personnel du client et de nous adresser une attestation de destruction de toutes les copies existantes de ses données.
10. Contrôle de la Cnil
En cas de contrôle de la Cnil, et ce même si elle ne porte pas sur les données de notre client, vous vous engagez à nous en informer sans délai
11. Droit des personnes
Si une personne souhaite exercer un de ses droits auprès de vous (accès, copie, rectification, portabilité ou autre) vous êtes tenu de nous en aviser afin que nous traitions directement cette demande avec notre client
12. Révision
En cas d’évolution règlementaire ou de recommandations de la Cnil, nous nous réservons le droit de modifier la présente politique. Toute nouvelle politique vous est notifiée avant son entrée en vigueur.