Accord de sous-traitance des données

Aux fins de l’article 28, paragraphe 3, du règlement 2016/679 (le RGPD).

Cet accord régit le traitement des données effectué par Simply Consulting ApS, société enregistrée n°. DK 33970080, Gammel Kongevej 1, 1610 Copenhague V, Danemark (le sous-traitant), pour le compte du client (le responsable du traitement) et est jointe en annexe A de l’abonnement principal, dans lequel les parties ont convenu des termes et conditions pour la fourniture des services du sous-traitant (Simply CRM) au responsable du traitement.

Les parties se sont mises d’accord sur les clauses contractuelles suivantes afin de répondre aux exigences du RGPD et d’assurer la protection des droits de la personne concernée.

  1. Table des matières
  2. Préambule. 3
  3. Les droits et obligations du responsable du traitement 3
  4. Le sous-traitant agit conformément aux instructions. 4
  5. Confidentialité 4
  6. Sécurité du traitement. 4
  7. Recours à des sous-traitants ultérieurs. 5
  8. Transfert de données vers des pays tiers ou des organisations internationales. 6
  9. Assistance au responsable du traitement 7
  10. Notification de violation de données personnelles. 8
  11. Effacement et restitution des données. 8
  12. Audit et inspection. 9
  13. L’accord des parties sur d’autres conditions. 9
  14. Entrée en vigueur et résiliation. 9
  15. Contacts/points de contact du responsable du traitement et du sous-traitance 10

Annexe A Informations sur le traitement. 11

Annexe B Sous-traitants ultérieurs autorisés. 12

Annexe C Instruction relative à l’utilisation des données personnelles. 13

Annexe D Les modalités d’entente des parties sur d’autres sujets. 18

 

 

2. Préambule

 

  1. Les présentes Clauses contractuelles (les Clauses) définissent les droits et obligations du responsable du traitement et du sous-traitant lors du traitement des données à caractère personnel pour le compte du responsable du traitement.

 

  1. Les clauses ont été conçues pour assurer le respect par les parties de l’article 28, paragraphe 3, du règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

 

  1. Dans le cadre de la fourniture de Simply CRM et des services associés, le sous-traitant traitera les données à caractère personnel pour le compte du responsable du traitement conformément aux Clauses.

 

  1. Les Clauses prévaudront sur toutes dispositions similaires contenues dans d’autres accords entre les parties.

 

  1. Quatre annexes sont jointes aux Clauses et font partie intégrante des Clauses.

 

  1. L’annexe A contient des détails sur le traitement des données à caractère personnel, y compris la finalité et la nature du traitement, le type de données à caractère personnel, les catégories de personnes concernées et la durée du traitement.

 

  1. L’annexe B contient les conditions du responsable du traitement pour l’utilisation par le sous-traitant de sous-traitants ultérieurs et une liste des sous-traitants ultérieurs autorisés par le responsable du traitement.

 

  1. L’annexe C contient les instructions du responsable du traitement en ce qui concerne le traitement des données à caractère personnel, les mesures de sécurité minimales à mettre en œuvre par le sous-traitant et la manière dont les audits du sous-traitant et des éventuels sous-traitants ultérieurs doivent être effectués.

 

  1. L’annexe D contient des dispositions pour d’autres activités qui ne sont pas couvertes par les clauses.

 

  1. Les Clauses ainsi que les annexes doivent être conservées par écrit, y compris par voie électronique, par les deux parties.

 

  1. Les Clauses n’exemptent pas le sous-traitant des obligations auxquelles il est soumis en vertu du Règlement général sur la protection des données (RGPD) ou d’une autre législation.

3. Les droits et obligations du responsable du traitement

 

  1. Le responsable du traitement est chargé de veiller à ce que le traitement des données à caractère personnel soit effectué conformément au RGPD (voir article 24 du RGPD), aux dispositions applicables en matière de protection des données de l’UE ou des États membres[1] et aux Clauses.

 

  1. Le responsable du traitement a le droit et l’obligation de prendre des décisions sur les finalités et les moyens du traitement des données à caractère personnel.

 

  1. Le responsable du traitement est chargé, entre autres, de s’assurer que le traitement des données à caractère personnel, que le sous-traitant est chargé d’effectuer, a une base légale.

4. Le sous-traitant agit conformément aux instructions

 

  1. Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins que le droit de l’Union ou de l’État membre auquel le sous-traitant ne soit soumis l’exige. Ces instructions sont spécifiées dans les annexes A et C. Des instructions ultérieures peuvent également être données par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel, mais ces instructions doivent toujours être documentées et conservées par écrit, y compris par voie électronique, en relation avec les clauses.

 

  1. Le sous-traitant informe immédiatement le responsable du traitement si les instructions données par le responsable du traitement, de l’avis du sous-traitant, contreviennent au RGPD ou aux dispositions applicables de l’UE ou des États membres en matière de protection des données.

 

5. Confidentialité

 

  1. Le sous-traitant n’accorde l’accès aux données à caractère personnel traitées pour le compte du responsable du traitement qu’aux personnes placées sous son autorité qui se sont engagées à respecter la confidentialité ou qui sont soumises à une obligation légale appropriée de confidentialité et uniquement sur la base du besoin d’en connaître. La liste des personnes auxquelles l’accès a été accordé fait l’objet d’un réexamen périodique. Sur la base de cet examen, cet accès aux données à caractère personnel peut être retiré, si l’accès n’est plus nécessaire, et les données à caractère personnel ne seront donc plus accessibles à ces personnes.

 

  1. Le sous-traitant doit, à la demande du responsable du traitement, démontrer que les personnes concernées sous son autorité sont soumises à la confidentialité susmentionnée.

6. Sécurité du traitement

 

  1. L’article 32 du RGPD stipule que, compte tenu de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.

 

Le responsable du traitement évalue les risques inhérents au traitement pour les droits et libertés des personnes physiques et met en œuvre des mesures pour atténuer ces risques. En fonction de leur pertinence, les mesures peuvent inclure les éléments suivants :

 

  1. Pseudonymisation et cryptage des données à caractère personnel ;

 

  1. la capacité d’assurer en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ;

 

  1. la capacité de rétablir la disponibilité et l’accès aux données personnelles en temps opportun en cas d’incident physique ou technique ;

 

  1. un processus permettant de tester, d’évaluer et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.

 

  1. Conformément à l’article 32 du RGPD, le sous-traitant évalue également, indépendamment du responsable du traitement, les risques pour les droits et libertés des personnes physiques inhérents au traitement et met en œuvre des mesures pour atténuer ces risques. À cet effet, le responsable du traitement fournit au sous-traitant toutes les informations nécessaires à l’identification et à l’évaluation de ces risques.

 

  1. En outre, le sous-traitant assiste le responsable du traitement à assurer le respect des obligations du responsable du traitement en vertu de l’article 32 du RGPD, en entre autres fournir au responsable du traitement des informations concernant les mesures techniques et organisationnelles déjà mises en œuvre par le sous-traitant conformément à l’article 32 du RGPD, ainsi que toutes les autres informations nécessaires pour que le responsable du traitement se conforme à l’obligation du responsable du traitement en vertu de l’article 32 du RGPD.

 

Si, par la suite, dans l’évaluation du responsable du traitement, l’atténuation des risques identifiés nécessite la mise en œuvre par le sous-traitant de mesures supplémentaires que celles déjà mises en œuvre par le sous-traitant conformément à l’article 32 du RGPD, le responsable du traitement spécifie ces mesures supplémentaires à mettre en œuvre à l’annexe C.

7. Recours à des sous-traitants ultérieurs

 

  1. Le sous-traitant doit satisfaire aux exigences spécifiées à l’article 28, paragraphes 2 et 4, du RGPD afin d’engager un autre sous-traitant (un sous-traitant ultérieur).

 

  1. Le sous-traitant n’engage donc pas un autre sous-traitant (sous-traitant) pour l’exécution des Clauses sans l’autorisation écrite générale préalable du responsable du traitement.

 

  1. Le sous-traitant dispose de l’autorisation générale du responsable du traitement pour l’engagement de sous-traitants ultérieurs. Le sous-traitant informe par écrit le responsable du traitement de toute modification envisagée concernant l’ajout ou le remplacement de sous-traitants ultérieurs au moins 20 jours à l’avance, donnant ainsi au responsable du traitement la possibilité de s’opposer à ces modifications avant l’engagement du ou des sous-traitants ultérieurs concernés. Des délais de préavis plus longs pour des services de sous-traitance ultérieurs spécifiques peuvent être fournis à l’annexe B. La liste des sous-traitants ultérieurs déjà autorisés par le responsable du traitement figure à l’annexe B.

 

  1. Lorsque le sous-traitant fait appel à un sous-traitant ultérieur pour l’exécution d’activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection des données que celles énoncées dans les Clauses sont imposées à ce sous-traitant ultérieur par le biais d’un contrat ou d’un autre acte juridique en vertu du droit de l’UE ou d’un État membre, en particulier en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la les Clauses et le RGPD.

 

Le sous-traitant est donc responsable d’exiger que le sous-traitant ultérieur respecte au moins les obligations auxquelles le sous-traitant est soumis en vertu des clauses et du RGPD.

 

  1. Une copie d’un tel accord de sous-traitant ultérieur et des modifications ultérieures doivent – ​​à la demande du responsable du traitement – ​​être soumises au responsable du traitement, donnant ainsi au responsable du traitement la possibilité de garantir que les mêmes obligations de protection des données que celles énoncées dans les clauses sont imposées. sur le sous-processeur. Les clauses relatives aux questions commerciales qui n’affectent pas le contenu juridique de la protection des données du contrat de sous-traitant ultérieur ne doivent pas être soumises au responsable du traitement.

 

  1. Le sous-traitant doit conclure une clause de tiers bénéficiaire avec le sous-traitant ultérieur dans lequel – en cas de faillite du sous-traitant – le responsable du traitement sera un tiers bénéficiaire de l’accord du sous-traitant ultérieur et aura le droit de faire respecter l’accord à l’encontre du sous-traitant ultérieur engagé par le processeur de données, par ex. permettre au responsable du traitement de demander au sous-traitant ultérieur de supprimer ou de restituer les données personnelles.

 

  1. Si le sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant reste entièrement responsable envers le responsable du traitement en ce qui concerne le respect des obligations du sous-traitant. Cela n’affecte pas les droits des personnes concernées en vertu du RGPD – en particulier ceux prévus aux articles 79 et 82 du RGPD – à l’encontre du responsable du traitement et du sous-traitant, y compris le sous-traitant ultérieur.

8. Transfert de données vers des pays tiers ou des organisations internationales

 

  1. Tout transfert de données personnelles vers des pays tiers ou des organisations internationales par le sous-traitant n’a lieu que sur la base d’instructions documentées du responsable du traitement et s’effectue toujours dans le respect du chapitre V du RGPD.

 

  1. Dans le cas où des transferts vers des pays tiers ou des organisations internationales, que le sous-traitant n’a pas été chargé d’effectuer par le responsable du traitement, sont requis en vertu du droit de l’UE ou de l’État membre auquel le sous-traitant est soumis, le sous-traitant informe le responsable du traitement des données. cette exigence légale avant le traitement, à moins que cette loi n’interdise ces informations pour des motifs importants d’intérêt public.

 

  1. Sans instructions documentées du responsable de traitement, le sous-traitant ne peut donc dans le cadre des Clauses :

 

  1. transférer des données personnelles à un responsable du traitement ou à un sous-traitant dans un pays tiers ou dans une organisation internationale

 

  1. transférer le traitement des données personnelles à un sous-traitant ultérieur dans un pays tiers

 

  1. faire traiter les données personnelles par le sous-traitant dans un pays tiers

 

  1. Les instructions du responsable du traitement concernant le transfert de données personnelles vers un pays tiers, y compris, le cas échéant, l’outil de transfert prévu au chapitre V du RGPD sur lequel elles se fondent, sont détaillées à l’annexe C.6.

 

  1. Les Clauses ne doivent pas être confondues avec les clauses types de protection des données au sens de l’article 46, paragraphe 2, points c) et d) du RGPD, et les Clauses ne peuvent pas être invoquées par les parties comme un outil de transfert au titre du chapitre V du RGPD.

9. Assistance au responsable du traitement

 

  1. Compte tenu de la nature du traitement, le responsable du traitement assiste le responsable du traitement, dans la mesure du possible, par des mesures techniques et organisationnelles appropriées, dans l’accomplissement des obligations du responsable du traitement de répondre aux demandes d’exercice des droits de la personne concernée. au chapitre III du RGPD.

Cela implique que le sous-traitant doit, dans la mesure du possible, assister le responsable du traitement dans le respect par celui-ci :

 

  1. le droit d’être informé lors de la collecte de données personnelles auprès de la personne concernée
  2. le droit d’être informé lorsque des données personnelles n’ont pas été obtenues auprès de la personne concernée
  3. le droit d’accès de la personne concernée
  4. le droit à la rectification
  5. le droit à l’effacement (« le droit à l’oubli »)
  6. le droit à la limitation du traitement
  7. obligation de notification concernant la rectification ou l’effacement des données personnelles ou la limitation du traitement
  8. le droit à la portabilité des données
  9. le droit de s’opposer
  10. le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage

 

  1. Outre l’obligation du sous-traitant d’assister le responsable du traitement conformément à la clause 6.3., le sous-traitant doit en outre, compte tenu de la nature du traitement et des informations dont il dispose, aider le responsable du traitement à garantir le respect :

 

  1. L’obligation du responsable du traitement de notifier sans délai indu et, si possible, au plus tard 72 heures après en avoir pris connaissance, la violation de données personnelles à l’autorité de contrôle compétente, l’Agence danoise de protection des données, à moins qu’il soit peu probable que la violation de données personnelles entraîner un risque pour les droits et libertés des personnes physiques ;

 

  1. l’obligation du responsable du traitement de communiquer sans délai injustifié la violation de données à caractère personnel à la personne concernée, lorsque la violation de données à caractère personnel est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques ;

 

  1. l’obligation du responsable du traitement de procéder à une évaluation de l’impact des traitements envisagés sur la protection des données personnelles (une analyse d’impact sur la protection des données) ;

 

  1. l’obligation du responsable du traitement de consulter l’autorité de contrôle compétente, l’Agence danoise de protection des données, avant le traitement lorsqu’une analyse d’impact sur la protection des données indique que le traitement entraînerait un risque élevé en l’absence de mesures prises par le responsable du traitement pour atténuer le risque .

 

  1. Les parties définiront à l’Annexe C les mesures techniques et organisationnelles appropriées par lesquelles le sous-traitant est tenu d’assister le responsable du traitement ainsi que l’étendue et l’étendue de l’assistance requise. Ceci s’applique aux obligations prévues à l’article 9.1. et 9.2.

10. Notification de violation de données personnelles

 

  1. En cas de violation de données personnelles, le sous-traitant doit, sans délai injustifié après en avoir pris connaissance, informer le responsable du traitement de la violation de données personnelles.

 

  1. La notification du sous-traitant au responsable du traitement doit, si possible, avoir lieu dans les 72 heures après que le sous-traitant a eu connaissance de la violation des données à caractère personnel afin de permettre au responsable du traitement de se conformer à son obligation de notifier la violation des données à caractère personnel au responsable du traitement. autorité de surveillance compétente, cf. Article 33 du RGPD.

 

  1. Conformément à l’article 9, paragraphe 2, point a), le sous-traitant doit aider le responsable du traitement à notifier la violation de données personnelles à l’autorité de contrôle compétente, ce qui signifie que le sous-traitant est tenu d’aider à obtenir les informations énumérées ci-dessous qui, conformément à à l’article 33, paragraphe 3, du RGPD, doit être indiqué dans la notification du responsable du traitement à l’autorité de contrôle compétente :

 

  1. La nature des données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d’enregistrements de données personnelles concernés ;

 

  1. les conséquences probables de la violation des données personnelles ;

 

  1. les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données personnelles, y compris, le cas échéant, des mesures visant à atténuer ses éventuels effets négatifs.

 

  1. Les parties définiront en Annexe C tous les éléments à fournir par le sous-traitant lorsqu’il assistera le responsable de traitement dans la notification d’une violation de données personnelles à l’autorité de contrôle compétente.

11. Effacement et restitution des données

 

  1. À la fin de la fourniture de services de traitement de données personnelles, le sous-traitant est tenu de supprimer toutes les données personnelles traitées pour le compte du responsable du traitement et de certifier au responsable du traitement qu’il l’a fait, à moins que le droit de l’Union ou des États membres n’exige le stockage des données. les données personnelles.

 

Le sous-traitant s’engage à traiter exclusivement les données personnelles pour les finalités et la durée prévues par la présente loi et dans les strictes conditions applicables.

12. Vérification et inspection

 

  1. Le sous-traitant doit mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 et aux clauses et permettre et contribuer aux audits, y compris les inspections, menés par le responsable du traitement ou un autre auditeur mandaté par le responsable du traitement des données. manette.

  1. Les procédures applicables aux audits du responsable du traitement, y compris les inspections, du sous-traitant et des sous-traitants ultérieurs sont précisées dans les annexes C.7. et C.8.

 

  1. Le sous-traitant est tenu de fournir aux autorités de contrôle qui, conformément à la législation applicable, ont accès aux installations du responsable du traitement et du sous-traitant, ou aux représentants agissant au nom de ces autorités de contrôle, l’accès aux installations physiques du sous-traitant sur présentation des justificatifs appropriés. identification.

13. Accord des parties sur d’autres conditions

 

  1. Les parties peuvent convenir d’autres clauses concernant la fourniture du service de traitement des données personnelles précisant par ex. responsabilité, à condition qu’ils ne contredisent pas directement ou indirectement les clauses ou ne portent pas préjudice aux droits ou libertés fondamentaux de la personne concernée et à la protection offerte par le RGPD.

14. Début et fin

 

  1. Les Clauses entreront en vigueur à la date de signature des deux parties.

 

  1. Les deux parties auront le droit d’exiger la renégociation des Clauses si des modifications de la loi ou l’inopportunité des Clauses devaient donner lieu à une telle renégociation.

 

  1. Les Clauses s’appliquent pendant toute la durée de la fourniture des services de traitement de données personnelles. Pendant la durée de la fourniture des services de traitement de données personnelles, les Clauses ne peuvent être résiliées que si d’autres Clauses régissant la fourniture de services de traitement des données personnelles ont été convenues entre les parties.

  1. Si la fourniture de services de traitement de données personnelles prend fin et que les données personnelles sont supprimées ou renvoyées au responsable du traitement conformément à la clause 11.1. et l’Annexe C.4., les Clauses peuvent être résiliées par notification écrite de l’une ou l’autre des parties.

 

15. Contacts/points de contact du responsable du traitement des données et du sous-traitant

 

  1. Les parties peuvent se contacter via les contacts/points de contact suivants :

 

  1. Les parties sont tenues de s’informer mutuellement en permanence des changements de contacts/points de contact.

 

Téléphone +45 70 235 230

Envoyer un e-mail à support@simply-crm.com

 

 

 

Annexe A Informations sur le traitement

 

A.1. La finalité du traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement est :

 

Le but du traitement des données personnelles par Simply CRM est de fournir une plateforme CRM (Customer Relationship Management) avec des services associés, tels que des tickets d’assistance, des formulaires Web, des e-mails, des tâches de projet, des entrées de calendrier, etc. Simply CRM propose également des intégrations à diverses plateformes telles que la messagerie, le calendrier et Finance/ERP, ainsi que d’autres. Tous ces services sont proposés pour remplir les obligations en vertu des conditions de services convenues entre Simply CRM et le Client.

 

En outre, les données personnelles peuvent également être utilisées dans les services d’assistance de Simply CRM destinés au Client (le responsable du traitement des données) et à ses utilisateurs.

 

 

A.2. Le traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement concerne principalement (la nature du traitement) :

 

Le traitement des données personnelles par Simply CRM est principalement conforme aux instructions du Client (le contrôleur des données) et nécessaire pour remplir les obligations en vertu des conditions de services convenues entre Simply CRM et le Client (le contrôleur des données) :

 

Stocker, utiliser, ajouter, modifier, éditer, structurer, analyser, présenter, exporter et supprimer les données pour le compte du Client (le responsable du traitement).

 

Les données peuvent être importées via des outils d’importation intégrés ou des intégrations à des outils tiers, ou saisies manuellement par le client (le responsable du traitement des données), ainsi que collectées sur la base des interactions des utilisateurs avec la plateforme Simply CRM, en utilisant des technologies telles que les cookies et les outils de journalisation.

A.3. Le traitement comprend les types de données personnelles suivants concernant les personnes concernées :

 

Les types de données personnelles sur les personnes concernées sont tous liés aux services d’un fournisseur CRM, ce qui signifie que les données sont liées aux services de vente et de marketing.

 

Le traitement des données du Client est configurable par le Client, mais Simply CRM traite le type standard de données personnelles suivant :

 

Noms, adresses e-mail, numéros de téléphone, adresses, participation aux réunions, informations de segmentation à des fins de marketing, demandes d’assistance, informations d’adhésion, factures, tâches de projet associées, analyses de l’utilisation du site Web et du portail client, données de localisation (adresse IP), identifiants associés. dans des plateformes intégrées telles que EP et des informations similaires.

 

 

A.4. Le traitement inclut les catégories de personnes concernées suivantes :

 

 

Simply CRM traitera les données personnelles concernant les catégories de personnes concernées suivantes :

 

  • Utilisateurs de Simply CRM, autorisés à utiliser le service par le Client (le responsable du traitement).
  • Les salariés travaillant pour le Client (le responsable du traitement), avec lesquels Simply CRM a eu ou pourrait potentiellement avoir un dialogue.
  • Contacts gérés par le Client (le responsable du traitement) via Simply CRM et les services associés.
  • Fournisseurs de services autorisés par le Client (le responsable du traitement) à utiliser la plateforme et les services Simply CRM.

 

A.5. Le traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement peut être effectué dès l’entrée en vigueur des Clauses. Le traitement a la durée suivante :

 

Il est fait référence à la section des Conditions Générales de Simply CRM, couvrant la durée d’un abonnement. Une fois l’abonnement expiré, y compris une période de grâce post-abonnement, les données ne seront plus traitées non plus.

 

Les conditions générales peuvent être lues dans leur intégralité surhttps://simply-crm.com/terms-and-conditions/

 

Annexe B Sous-traitants ultérieurs autorisés

 

B.1. Sous-traitants ultérieurs agréés

À l’entrée en vigueur des Clauses, le responsable du traitement autorise l’engagement des sous-traitants ultérieurs suivants.

 

NOM CVR ADRESSE DESCRIPTION DU TRAITEMENT
Hetzner Online GmbH VAT Reg. Non. DE 812871812 Industriestr. 25 91710 Gunzenhausen Allemagne Fournisseur d’hébergement principal pour les clients européens (RGPD)

 

Le responsable du traitement doit, dès l’entrée en vigueur des Clauses, autoriser le recours aux sous-traitants susmentionnés pour le traitement décrit pour cette partie. Le sous-traitant n’a pas le droit – sans l’autorisation écrite expresse du responsable du traitement – ​​d’engager un sous-traitant ultérieur pour un traitement « différent » de celui convenu ou de demander à un autre sous-traitant d’effectuer le traitement décrit.

 

 

Annexe C Instruction relative à l’utilisation des données personnelles.

 

C.1. Objet/instruction pour le traitement

 

Le sous-traitant traite les données personnelles au nom du contrôleur des données afin de permettre au contrôleur des données d’utiliser la plateforme Simply CRM pour les ventes, la gestion de la relation client, les informations liées aux projets et aux tâches, la communication interne et d’autres formes de partage de connaissances, détenues et gérées par le processeur de données. Le responsable du traitement (le client) utilisera la plateforme pour les ventes, la gestion de la relation client, les informations relatives aux projets et aux tâches, la communication interne de son entreprise pour certains ou tous les employés.

 

C.2. Sécurité du traitement

 

C.2.1 Le niveau de sécurité doit prendre en compte :

Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque pour les droits et libertés des personnes physiques, le Sous-traitant doit mettre en œuvre un niveau de sécurité approprié.

Le responsable du traitement des données aura désormais le droit et l’obligation de prendre des décisions concernant les mesures de sécurité techniques et organisationnelles à appliquer pour créer le niveau de sécurité des données nécessaire (et convenu).

Le sous-traitant doit cependant – dans tous les cas et au minimum – mettre en œuvre les mesures suivantes qui ont été convenues avec le responsable du traitement :
Sécurité physique

Le sous-traitant doit mettre en œuvre les mesures de sécurité physique suivantes :

a) Les locaux du sous-traitant peuvent être verrouillés.
b) Le processeur de données utilise des systèmes d’alarme pour détecter et prévenir les cambriolages.
c) Le processeur de données utilise des alarmes incendie et des détecteurs de fumée pour détecter et prévenir les incendies.
d) Les appareils du processeur de données (y compris les PC, serveurs, etc.) sont sécurisés derrière des portes verrouillées.
e) Les locaux et installations du sous-traitant ou les voies d’accès sont soumis à une surveillance vidéo ou par image.
f) Le sous-traitant utilise la gestion des clés, c’est-à-dire fournit les clés aux employés concernés et nécessaires, etc.

Sécurité organisationnelle

Le sous-traitant doit mettre en œuvre les mesures de sécurité organisationnelles suivantes :

a) Tous les employés du sous-traitant sont soumis à des obligations de confidentialité qui s’appliquent à tout traitement de données personnelles.
b) L’accès des employés aux données personnelles est limité, de sorte que seuls les employés concernés ont accès aux données personnelles nécessaires.
c) Le sous-traitant dispose d’une politique de sécurité informatique.
d) Le sous-traitant dispose de descriptions de processus documentables pour les violations de la sécurité des données personnelles, qui sont examinées au moins une fois par an.

Outre les points ci-dessus, le sous-traitant dispose de descriptions de processus documentables pour le traitement des données personnelles.

Sécurité technique : Accès aux données personnelles

Le sous-traitant doit mettre en œuvre les mesures techniques de sécurité suivantes concernant l’accès aux données personnelles :

a) Le processeur de données utilise un contrôle d’accès logique avec nom d’utilisateur et mot de passe ou autre autorisation unique.
b) Le sous-traitant demande aux employés d’utiliser des mots de passe individuels.
c) Les ordinateurs du processeur de données disposent d’une protection d’accès automatique en cas d’inactivité, c’est-à-dire. économiseur d’écran verrouillé.
d) Le sous-traitant des données dispose de politiques relatives à la composition des mots de passe, y compris des exigences minimales.
e) Il existe des procédures pour révoquer les autorisations lorsqu’un employé quitte ou change de service.
f) Il existe des procédures pour l’octroi d’autorisations aux systèmes informatiques lors de l’embauche de nouveaux employés.

Sécurité technique : Accès et protection des systèmes informatiques

Le sous-traitant doit mettre en œuvre les mesures techniques de sécurité suivantes concernant l’accès et la protection de ses systèmes :

a) Le sous-traitant accorde des autorisations à des individus ou à des groupes d’utilisateurs pour accéder, modifier et supprimer les données personnelles traitées.
b) Le processeur de données dispose d’une ou plusieurs procédures pour restaurer les données à partir d’une sauvegarde.
c) Le sous-traitant des données examine régulièrement les contrôles du système.

Le sous-traitant a en outre mis en place une authentification à 2 facteurs.

Sécurité technique : Chiffrement

Le sous-traitant doit mettre en œuvre les mesures techniques de sécurité suivantes en matière de cryptage :

a) Les mots de passe stockés sur les ordinateurs du processeur, etc. sont cryptés.
b) Le contenu des disques durs externes et des clés USB, etc. est crypté lorsque ces supports contiennent des informations personnelles ou sensibles.
c) Le sous-traitant crypte les données personnelles dans les systèmes et/ou sur les appareils.
d) Les sites Web et formulaires Web du sous-traitant utilisent des certificats SSL/HTTPS (Hyper Text Transfer Protocol Secure).

Sécurité technique : Protection des données personnelles lors de la transmission

Le sous-traitant doit mettre en œuvre les mesures techniques de sécurité suivantes concernant la protection des données personnelles lors de la transmission :

Le sous-traitant doit mettre en œuvre les mesures techniques de sécurité suivantes concernant la protection des données personnelles lors de la transmission :

Sécurité technique : Pseudonymisation

Le sous-traitant mettra en œuvre les mesures techniques de sécurité suivantes concernant la pseudonymisation :

Le sous-traitant utilise la pseudonymisation des données personnelles. La pseudonymisation garantit que les informations pouvant aider à identifier la personne enregistrée sont séparées et stockées dans un système informatique distinct et protégé.
Lorsqu’un utilisateur est supprimé de la plateforme, toutes ses données personnelles sont anonymisées.

Sécurité technique : Disponibilité et robustesse

Le Sous-traitant doit mettre en œuvre les mesures techniques de sécurité suivantes concernant la disponibilité et la robustesse :

a) L’accessibilité et la robustesse des systèmes et serveurs du sous-traitant sont sécurisées par un tiers avec lequel le sous-traitant a un accord.
b) Seuls les employés autorisés ont accès aux propres serveurs du sous-traitant.
c) Les salles de serveurs sont équipées de détecteurs de fumée et d’extincteurs.
d) La salle des serveurs dispose d’un système de climatisation.
e) Il existe des règles et des directives pour la sauvegarde des données.
f) Il existe des règles et des directives pour restaurer les données à partir d’une sauvegarde.
g) Des sauvegardes sont effectuées régulièrement (soit en interne, soit chez le fournisseur).
h) Surveillance de la température et de l’humidité dans les salles de serveurs.
i) Alerte active en cas de tentatives non autorisées d’accès aux salles de serveurs et/ou aux systèmes et données de traitement.
j) Une alimentation sans coupure (UPS) est utilisée.

C.3. Assistance au responsable du traitement

3.1 Le sous-traitant doit, dans la mesure du possible – dans le cadre et dans l’étendue de l’assistance spécifiée ci-dessous – assister le responsable du traitement conformément aux articles 9.1 et 9.2 en mettant en œuvre les mesures techniques et organisationnelles suivantes :

3.1.1 Si le responsable du traitement reçoit une demande d’exercice de l’un des droits des personnes concernées conformément à la loi applicable en matière de protection des données et qu’une réponse appropriée à la demande nécessite l’assistance du sous-traitant, le sous-traitant doit aider le Responsable du traitement avec les informations et la documentation nécessaires et pertinentes ainsi que les mesures de sécurité techniques et organisationnelles appropriées.

3.1.2 Si le responsable du traitement a besoin de l’assistance du sous-traitant afin de répondre à une demande d’une personne concernée, le responsable du traitement doit envoyer une demande d’assistance écrite au sous-traitant et le sous-traitant doit en réponse fournir l’aide nécessaire ou documentation dans les plus brefs délais et au plus tard 7 jours calendaires après réception de la demande.

3.1.3 Si le sous-traitant reçoit une demande d’exercice des droits en vertu de la loi applicable en matière de protection des données de la part d’autres personnes que le responsable du traitement et que la demande concerne des données personnelles traitées pour le compte du responsable du traitement, le sous-traitant doit, sans indu, retarder la transmission de la demande au responsable du traitement.

C.4. Période de conservation/procédures d’effacement

4.1 À la fin de la fourniture de services de traitement de données personnelles, le sous-traitant doit soit supprimer, soit restituer les données personnelles conformément à la clause 11.1, à moins que le responsable du traitement – ​​après la signature du contrat – n’ait modifié le choix initial du responsable du traitement. Une telle modification devra être documentée et conservée par écrit, y compris électroniquement, en lien avec les Clauses.

C.5. Lieu de traitement

5.1 Le traitement des données personnelles en vertu des Clauses ne peut être effectué à d’autres endroits que les suivants sans l’autorisation écrite préalable du responsable du traitement :

Au siège social du sous-traitant des données ou au siège social des sous-traitants agréés, comme spécifié à l’Annexe B.

C.6. Instruction sur le transfert de données personnelles vers des pays tiers

6.1 Les données personnelles ne sont traitées par le sous-traitant que dans les emplacements spécifiés à la clause C.5. Le sous-traitant ne transfère pas de données personnelles vers des pays tiers ou des organisations internationales.

6.2 Si le transfert de données personnelles vers des pays tiers en dehors de l’UE/EEE est effectué dans le cadre du transfert du sous-traitant vers des sous-traitants, le sous-traitant est, par les dispositions de l’accord, autorisé à conclure les dispositions contractuelles types adoptées par la Commission européenne avec les sous-traitants du processeur de données au nom du contrôleur de données, à condition que toutes les règles de la loi danoise sur la protection des données pour la transmission et le traitement soient par ailleurs respectées. Si le responsable du traitement des données est lui-même un sous-traitant des données et que le sous-traitant des données est un sous-traitant des données par rapport au(x) partenaire(s) contractuel(s) final(s) du responsable du traitement, le responsable du traitement doit obtenir l’autorisation de la partie contractante finale du sous-traitant des données. dans les conditions contractuelles types.

6.3 Si le transfert de données personnelles vers des pays tiers en dehors de l’UE/EEE est effectué dans le cadre du transfert du sous-traitant vers des contrôleurs de données indépendants, le sous-traitant est, par les dispositions de l’accord, autorisé à conclure les dispositions contractuelles types adoptées par la Commission européenne avec des contrôleurs de données indépendants au nom du responsable du traitement, à condition que toutes les règles de la législation sur la protection des données en matière de transmission et de traitement soient par ailleurs respectées. Si le responsable du traitement des données est lui-même un sous-traitant des données et que le sous-traitant des données est un sous-traitant des données par rapport au(x) partenaire(s) contractuel(s) final(s) du responsable du traitement, le responsable du traitement doit obtenir l’autorisation de la partie contractante finale du sous-traitant des données. dans les conditions contractuelles types.

6.4 Le transfert de données personnelles ne peut dans tous les cas être effectué que conformément aux présentes clauses, sur les instructions du responsable du traitement et dans la mesure permise par la loi applicable en matière de protection des données.

6.5 Si le responsable du traitement ne fournit pas d’instructions documentées dans les présentes clauses ou ultérieurement concernant le transfert de données personnelles vers un pays tiers, le sous-traitant n’est pas autorisé à effectuer de tels transferts dans le cadre des présentes clauses.

C.7. Procédures pour les audits du responsable du traitement, y compris les inspections, du traitement des données personnelles effectué par le sous-traitant

7.1 Le processeur de données doit, sur demande écrite du contrôleur de données, documenter au contrôleur de données que le processeur de données

7.1.1 se conforme à ses obligations en vertu des présentes Clauses et des Instructions, et

7.1.2 avec les articles pertinents du RGPD en ce qui concerne les données personnelles traitées pour le compte du responsable du traitement.

7.2 Conformément à la clause C.7.1, la documentation du sous-traitant doit être envoyée au responsable du traitement dans un délai raisonnable après réception de la demande.

7.3 Le sous-traitant ne doit pas mettre à disposition du responsable du traitement des rapports d’auto-audit conformément aux principes de la déclaration d’assurance ISAE 3000 dans le cadre de la documentation des sous-traitants pour le respect des présentes clauses. Le processeur de données n’est pas obligé d’initier et d’entreprendre des audits externes de sa conformité aux clauses de sa propre initiative.

Annexe D Conditions d’accord des parties sur d’autres sujets

 

Il n’existe pas de termes d’accord convenus sur d’autres sujets, sauf accord expresse écrit des deux Parties dans d’autres annexes.
[1] Les références aux « États membres » faites dans les clauses doivent être comprises comme des références aux « États membres de l’EEE ».