Accord sur le Traitement des Données Personnelles (« DPA » en référencement à l’acronyme de l’appellation anglaise « Data Processing Agreement »)

en application de l'article 28 du Règlement général sur la protection des données (RGPD) entre Vous, en tant qu'Utilisateur du Service iubenda

  • le Responsable de traitement –

et iubenda s.r.l Via San Raffaele, 1 20121 Milan Italie dont le représentant légal est Andrea Giannangelo

  • le Sous-traitant -

1. Objet, contrat principal et durée

L'objet du DPA résulte du contrat principal signé par les parties pour la fourniture du Service par iubenda (« Contrat »). Le Sous-traitant met en œuvre les traitements qui y sont décrits

  • pour ce qui concerne les catégories de Données personnelles suivantes :
    • les Données personnelles principales, données de contact et de communication
    • les Données relatives au paiement à des fins de facturation
    • les Données fournies par l'Utilisateur lors de l'utilisation du générateur, y compris les coordonnées de l'entreprise, les Données personnelles des principaux dirigeants et employés
    • les Données fournies pour les finalités des services de Gestion Interne des Données Personnelles
    • les Données relatives à l'utilisation du site web iubenda, telles que les Données relatives au support, aux analyses, etc.
    • les Données se référant aux Utilisateurs du client, y compris les informations relatives à leur interaction avec les outils iubenda sur le site web du client et les informations de suivi du consentement recueillies par l'intermédiaire de iubenda Consent Database.
  • se référant aux catégories de Personnes concernées suivantes :
    • les clients
    • les principaux dirigeants et employés des clients
    • les tiers agissant pour le compte des clients (tels que les agences web)
    • les clients des clients

La durée du présent DPA correspond à la durée du contrat principal.

2. Traitement sur instruction

Les traitements n'ont lieu que sur instructions documentées du Responsable de traitement. Ces instructions figurent dans le Contrat et dans le présent Accord. Les traitements des Données en vertu du présent DPA sont mis en œuvre au sein de l'Union européenne (UE) ou de l'Espace économique européen (EEE). Si un transfert de Données en dehors de l'UE ou de l'EEE devait avoir lieu, il serait effectué conformément aux conditions énoncées aux art. 44 et suivants du RGPD.

3. Mesures techniques et organisationnelles

Le Sous-traitant a mis en place des mesures techniques et organisationnelles afin de garantir que les traitements en vertu du présent DPA soient effectués conformément aux dispositions applicables en matière de protection des Données personnelles. Le Sous-traitant a notamment mis en place des mesures de sécurité pour veiller à ce que les normes de protection soient adaptées aux risques en termes de confidentialité, d'intégrité, de disponibilité et de résilience des systèmes, en tenant compte de la probabilité de violations de Données et de la gravité du risque pour les droits et libertés des personnes physiques pouvant en résulter. Les mesures techniques et organisationnelles seront toujours contrôlées et mises à jour en fonction du progrès et du développement techniques afin de maintenir ou de renforcer le niveau de protection des Données.

4. Rectification, limitation et effacement des Données

Le Sous-traitant s'interdit de rectifier, effacer les Données ou limiter le traitement des Données couvertes par le présent Accord, sauf instruction contraire du Responsable du traitement. Si une Personne concernée contacte le Sous-traitant concernant un traitement des Données dans le cadre du présent Accord, le Sous-traitant transmet cette demande directement au Responsable du traitement.

5. Assurance qualité et autres obligations du Sous-traitant

Le Sous-traitant s'engage à respecter les dispositions du présent DPA ainsi que toutes les exigences légales applicables, en particulier celles résultant de l'article 28-33 du RGPD. En particulier, le Sous-traitant garantit que

  • les personnes autorisées à traiter les Données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée ;
  • des mesures de sécurité en application de l'article 32 GDPR ont été mises en place ;
  • compte tenu de la nature du traitement, le Sous-traitant assiste le Responsable de traitement en mettant en œuvre, dans la mesure du possible, les mesures techniques et organisationnelles appropriées pour que le Responsable du traitement s'acquitte de son obligation de répondre aux demandes relatives à l'exercice des droits de la Personne concernée ;
  • le Sous-traitant aidera le Responsable de traitement à assurer le respect des obligations visées aux articles 32 à 36 du RGPD en tenant compte de la nature du traitement et des informations dont il dispose ;
  • le Sous-traitant mettra à la disposition du Responsable de traitement toutes les informations nécessaires au contrôle du respect des obligations prévues à l'article 28 du RGPD ; il autorisera la réalisation d'audits (y compris les inspections) et y participera, comme indiqué à l'article 7 du présent Accord.

6. Sous-traitance

Le Sous-traitant a sous-traité une partie de ses services à des tiers, qui - dans la mesure où la loi l'exige - ont été soumis aux mêmes obligations et garanties prévues par le présent DPA et par le droit applicable en matière de protection des données. Le Responsable du traitement peut demander la liste des sous-traitants actuels employés par le Sous-traitant. Toute modification de cette liste doit être notifiée au Responsable du traitement dans les meilleurs délais, en lui donnant la possibilité de s'y opposer. En cas d'objection, le Sous-traitant conserve le droit de résilier le Contrat avec le Responsable du traitement.

7. Audits

En cas de motif impérieux, le Responsable du traitement peut demander à ce qu'un tiers indépendant et reconnu procède à une inspection ou un audit des traitements de Données effectués par le Sous-traitant en vertu du présent Accord. Les inspections et les audits doivent être convenus à l'avance avec le Sous-traitant et avoir lieu sans nuire aux opérations commerciales régulières du Sous-traitant. Le Sous-traitant peut facturer les coûts de ces audits ou inspections au Responsable de traitement. La preuve du respect des obligations prévues aux articles 32 à 36 du RGPD peut également être rapportée par

  • la conformité aux dispositions de Codes de conduite approuvé en vertu de l'article 40 du RGPD ;
  • une certification délivrée selon une procédure de certification approuvée conformément à l'article 42 du RGPD ;
  • des certificats, des rapports ou des extraits de rapports d'auditeurs actuels du Sous-traitant fournis par des organismes indépendants ;
  • une certification appropriée par un audit de sécurité informatique et de protection des Données.

8. Violations des Données

Le Sous-traitant apportera son assistance au Responsable de traitement dans le respect des obligations concernant la sécurité des Données, les obligations de compte rendu en cas de violation de Données, les études d'impact sur la protection des Données et les consultations préalables, visées aux articles 32 à 36 du RGPD, et notamment s'engage à

  • veiller à la mise en place de mesures de protection adaptées par des mesures techniques et organisationnelles, en tenant compte du type, des circonstances et des finalités du traitement, de la probabilité de violations de Données et de la gravité du risque pour les droits et libertés des personnes physiques pouvant en résulter.
  • garantir la détection immédiate des violations
  • signaler dans les meilleurs délais les violations des données au Responsable de traitement
  • aider le Responsable de traitement à répondre aux demandes des Personnes concernées ou à exercer leurs droits.

9. Stricte conformité

Dans le cas où le Responsable de traitement exigerait une modification du traitement des Données personnelles prévu par les instructions documentées mentionnées au point 2, le Sous-traitant s'engage à en informer sans délai le Responsable de traitement s'il considère que ces modifications entraînent des violations des dispositions relatives à la protection des Données. Le Sous-traitant peut s'abstenir d'exercer toute activité susceptible d'entraîner une telle violation.

10. Fin du Contrat, suppression et restitution des Données personnelles

Une fois la prestation de services exécutée, le Sous-traitant doit, au choix du Responsable de traitement, supprimer ou renvoyer au Responsable du traitement toutes les Données personnelles collectées et traitées dans le cadre du présent Accord, à moins qu'une disposition légale applicable à laquelle le Sous-traitant est soumis n'exige la conservation des Données personnelles. Dans tous les cas, le Sous-traitant peut conserver toutes les informations nécessaires pour démontrer le processus organisé et la conformité des traitements mis en œuvre après la fin du Contrat, dans le respect des durées légales de conservation.

Dernière mise à jour : 27 août 2023

Ce document a été créé avec le Générateur de Conditions Générales iubenda. Voir également le Générateur de Politique de Confidentialité et de Cookies. iubenda héberge le présent contenu et ne collecte que les Données personnelles strictement nécessaires à sa fourniture.
(EN) This document has been created with the iubenda Terms and Conditions Generator. See also the Privacy and Cookie Policy Generator.

Créé avec le Générateur de Conditions Générales | iubenda