Le présent Accord sur le Traitement des Données Personnelles (l’« Accord ») est conclu entre vous, en qualité de
et
iubenda s.r.l.
Via San Raffaele, 1
20121 Milan
Italie
représentant légal, Andrea Giannangelo
L’objet de l’Accord découle du contrat principal signé par les parties pour la fourniture du service d’iubenda (le « Contrat »). Le Sous-traitant effectue les activités de traitement qui y sont décrites
pour ce qui concerne les catégories de Données personnelles suivantes :
se référant aux catégories de Personnes concernées suivantes :
Nonobstant la localisation du Responsable du traitement, sauf stipulation contraire des présentes – notamment concernant les Sous-traitants ultérieurs visés à l’article 7 ci-dessous – toutes les activités de traitement des données effectuées par le Sous-traitant doivent être effectuées dans les territoires de l’Union européenne / l’Espace économique européen (UE/EEE).
Au présent Accord, sauf si le contexte exige qu'il en soit autrement, les termes ci-dessous ont le sens suivant :
a. « Accord » désigne le présent Accord sur le Traitement des Données Personnelles et toutes ses Annexes correspondantes, ainsi que toute modification de ceux-ci.
b. « Lois applicables sur la protection des Données personnelles » désigne, selon le cas, toute loi ou réglementation applicable sur la protection de la vie privée et des données personnelles, telle que, par exemple : (i) le Règlement général sur la protection des données de l’UE (règlement 2016/679) (« RGPD ») ; la Loi fédérale sur la protection des données de la Suisse (« LPD ») ; (iii) la Loi générale de protection des données personnelles du Brésil n°13,709/2018 (« LGPD ») ; le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données du Royaume-Uni) (« RGPD du Royaume-Uni »).
c. « Responsable du traitement » désigne l’entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement des Données personnelles.
d. « Personne concernée » désigne la personne physique à laquelle les Données personnelles se rapportent.
e. « Certification ISO 27001 » désigne une norme internationale largement reconnue pour les systèmes de management de la sécurité de l’information. Cette norme précise les exigences pour l’établissement, la mise en œuvre, la tenue à jour et l’amélioration continue du système de management de la sécurité de l’information (SMSI) d’une organisation. La Certification ISO 27001 prouve que le Sous-traitant a mis en œuvre un ensemble complet de contrôles et de mesures de sécurité afin de protéger la confidentialité, l’intégrité, et la disponibilité des actifs informationnels, et qu’il a fait l’objet d’une évaluation et d’un audit indépendants menés par un organisme de certification en vue de vérifier sa conformité avec la norme ISO 27001.
f. « Données personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
g. « Traitement » désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données personnelles ou des ensembles de Données personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
h. « Sous-traitant » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des Données personnelles pour le compte du Responsable du traitement.
i. « Sous-traitant ultérieur » désigne tout Sous-traitant engagé par le Sous-traitant, qui accepte de recevoir de celui-ci des Données personnelles exclusivement destinées aux activités de Traitement devant être effectuées pour le compte du Responsable du traitement, après que ce dernier a autorisé cette sous-traitance.
l. « Mesures techniques et organisationnelles » désigne les mesures visant à protéger les Données personnelles contre toute destruction accidentelle ou illicite, perte accidentelle, altération, divulgation non autorisée ou contre tout accès non autorisé à celles-ci ainsi que contre toute autre forme de Traitement illicite.
Tous les termes qui portent une majuscule et ne sont pas définis aux présentes ont le sens qui leur est donné dans le RGPD, la LPD, la LGPD, le RGPD du Royaume-Uni et toute Loi applicable sur la protection des Données personnelles.
Le Sous-traitant accepte de ne traiter les Données personnelles que sur les instructions documentées du Responsable du traitement, y compris s’agissant des transferts de Données personnelles vers un pays tiers ou une organisation internationale, sauf si le Sous-traitant est tenu de le faire en vertu des Lois applicables sur la protection des Données personnelles auxquelles il est soumis.
Le Sous-traitant s’engage à mettre en place des mesures techniques et organisationnelles appropriées assurant un niveau de sécurité adapté au risque que présente le Traitement et à la nature des Données personnelles à protéger. Ces mesures doivent, entre autres, protéger les Données personnelles contre la destruction, la perte, l’altération, la divulgation non autorisée de Données personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données, intervenant de manière accidentelle ou illicite.
Des précisions concernant ces mesures figurent à l’Annexe I.
Le Sous-traitant s’engage à aider le Responsable du traitement à garantir le respect des droits dont disposent les Personnes concernées en vertu des Lois applicables sur la protection des Données personnelles.
Les droits conférés au Responsable du traitement par le présent Accord, y compris notamment le droit de rectification, de limitation, et d’effacement ou de renvoi des données, peuvent être exercés par le biais du système de tickets ou en contactant le Sous-traitant par courrier électronique à l’adresse suivante : info@iubenda.com.
Le Sous-traitant doit garantir la qualité de ses activités de traitement des données et respecter les obligations mises à sa charge par les Lois applicables sur la protection des Données personnelles. Le Sous-traitant doit :
a. Documenter et mettre en œuvre des procédures : Le Sous-traitant doit tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable du traitement, comportant les informations requises aux termes des Lois applicables sur la protection des Données personnelles.
b. Minimisation des Données : Le Sous-traitant doit garantir que les Données personnelles sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
c. Exactitude des Données : Le Sous-traitant doit prendre toutes les mesures raisonnables pour que les Données personnelles qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.
d. Disponibilité, intégrité et confidentialité des données : Le Sous-traitant doit traiter les Données personnelles de façon à garantir une sécurité appropriée des Données personnelles, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction, les dégâts ou l’interruption d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.
e. Coopération avec le Responsable du traitement : Le Sous-traitant doit aider le Responsable du traitement à assurer le respect des obligations concernant la sécurité du traitement, la notification des violations de Données personnelles à l’autorité de contrôle, la communication des violations de Données personnelles à la Personne concernée, les analyses d'impact relatives à la protection des données, et la consultation préalable en cas de traitement présentant un risque élevé.
f. Obligation de confidentialité des employés : Le Sous-traitant doit veiller à ce que ses employés procédant au Traitement de Données personnelles soient informés du caractère confidentiel des Données personnelles, aient reçu une formation appropriée sur leurs responsabilités, et soient soumis à des obligations de confidentialité ainsi qu’à des limitations d’utilisation à l’égard des Données personnelles.
g. Réponse aux Personnes Concernées : Si le Sous-traitant reçoit une demande d'une Personne concernée dans le cadre de toute Loi applicable sur la protection des Données personnelles concernant des Données personnelles, il doit suggérer à la Personne concernée d’adresser sa demande au Responsable du traitement et doit informer ce dernier de la demande dès que possible.
h. Analyse d’impact relative à la protection des données (AIPD) : À la demande du Responsable du traitement, le Sous-traitant doit fournir à celui-ci les informations nécessaires pour effectuer une AIPD ainsi que l’exigent les Lois applicables sur la protection des Données personnelles.
Le Responsable du traitement reconnaît et accepte que le Sous-traitant peut engager des Sous-traitants ultérieurs pour effectuer des activités de traitement dans le cadre du présent Accord. Les Sous-traitants ultérieurs actuellement engagés sont, par les présentes, réputés acceptés par le Responsable du traitement.
Une liste de Sous-traitants ultérieurs peut être demandée par le biais du système de tickets ou par courrier électronique à l’adresse suivante: info@iubenda.com.
Le Sous-traitant s’engage à informer par avance le Responsable du traitement de tout changement prévu de Sous-traitant ultérieur et à recueillir l’accord du Responsable du traitement avant de procéder à un tel changement. Le Sous-traitant doit en tout état de cause imposer aux Sous-traitants ultérieurs les mêmes obligations de protection des données que celles stipulées au présent Accord.
Le Sous-traitant doit mettre à la disposition du Responsable du traitement, sur demande, toutes les informations nécessaires pour prouver le respect des obligations stipulées au présent Accord et rendre possible les audits, y compris les inspections, menés par le Responsable du traitement ou tout autre auditeur mandaté par le Responsable du traitement et y contribuer.
Les inspections et les audits doivent être convenus par avance avec le Sous-traitant et avoir lieu sans perturber les activités habituelles de celui-ci. Le Sous-traitant peut facturer les coûts de ces audits ou inspections au Responsable du traitement.
Le Sous-traitant doit maintenir en place des procédures et technologies robustes pour détecter et prévenir les violations de données et y répondre.
En cas de violation de Données personnelles, le Sous-traitant doit la notifier promptement et dans les meilleurs délais au Responsable du traitement une fois qu’il en a connaissance. Cette notification doit comprendre :
Le Sous-traitant doit documenter toute violation de Données personnelles en indiquant les faits concernant la violation des Données personnelles, ses effets et les mesures prises pour y remédier. Le Sous-traitant doit également aider le Responsable du traitement à assurer le respect des obligations mises à la charge de ce dernier par les lois applicables sur la protection des Données personnelles concernant la notification des violations de la sécurité aux autorités et aux personnes affectées.
Le Sous-traitant ne doit pas communiquer la violation de Données personnelles à un quelconque tiers ou aux Personnes concernées affectées sans l’accord préalable et écrit du Responsable du traitement, sauf si cette communication est requise par les Lois applicables sur la protection des Données personnelles.
Le Sous-traitant comprend et accepte que tout manquement à l’obligation d’assister le Responsable du traitement ainsi que le stipule le présent Article peut entrainer des pénalités et des amendes, dont le Sous-traitant sera tenu pour responsable.
Le présent Article est sans préjudice d’un quelconque droit ou recours dont le Responsable du traitement peut disposer en vertu du présent Accord ou des Lois applicables sur la protection des Données personnelles.
Une fois l’exécution des services achevée, ou avant si le Responsable du traitement lui en donne l’instruction, le Sous-traitant doit, à la discrétion du Responsable de traitement, supprimer ou renvoyer toutes les données personnelles collectées et traitées dans le cadre du présent accord, à moins que le Sous-traitant ne soit tenu de conserver ces données personnelles en vertu d’une disposition légale applicable.
Sauf instruction contraire du Responsable du traitement, le Sous-traitant conserve les données personnelles pendant une durée de six mois après la fin du contrat et l’achèvement de l’exécution des services, uniquement afin de permettre au Responsable du traitement de les exporter. Après l’expiration de la durée de conservation de six mois, le Sous-traitant supprime toutes les données personnelles.
Nonobstant ce qui précède, le Sous-traitant a le droit de conserver, y compris après l’achèvement de l’exécution des services et la fin du contrat, toutes les informations nécessaires pour démontrer la régularité et la conformité du traitement, dans le respect des durées légales de conservation.
Conformément à la certification UNI CEI EN ISO/IEC ISO 27001:2017 du Sous-traitant, les principaux éléments suivants sont mis en œuvre à titre de mesures techniques et organisationnelles :
a. Politiques de sécurité de l’information : Le Sous-traitant a établi et révise régulièrement une politique de sécurité de l’information fournissant des indications et une aide en matière de sécurité de l’information, conformément aux besoins de l’activité et aux lois et réglementations pertinentes.
b. Organisation de la sécurité de l’information : Le Sous-traitant attribue des responsabilités relatives à des tâches spécifiques afin d’assurer la gestion efficace de la sécurité de l’information.
c. Sécurité dans le cadre des ressources humaines : Le Sous-traitant a mis en œuvre des pratiques en matière de sécurité pour les employés et les prestataires, pendant toute la durée de leur contrat de travail ou de leur mission.
d. Gestion des actifs : Le Sous-traitant tient un inventaire des actifs et a défini des responsabilités appropriées en matière de protection.
e. Contrôle des accès : Le Sous-traitant veille à ce que les employés et les prestataires aient uniquement accès aux informations et aux actifs associés à leurs fonctions professionnelles.
f. Cryptographie : Le Sous-traitant utilise le chiffrement et la gestion des clés pour la protection des informations.
g. Sécurité physique et environnementale : Le Sous-traitant sécurise les bureaux, pièces, et installations afin de prévenir tout accès physique non autorisé, tout dommage, et toute intrusion dans les locaux et les informations du Sous-traitant.
h. Sécurité des opérations : Le Sous-traitant veille à la bonne marche et au fonctionnement sécurisé des installations de traitement de l’information.
i. Sécurité des communications : Le Sous-traitant met en place des réseaux et des transferts d’informations de façon sécurisée.
l. Acquisition, développement et maintenance des systèmes : Le Sous-traitant veille à ce que la sécurité de l’information fasse partie intégrante des systèmes pendant toute leur durée de vie.
m. Relations avec les fournisseurs : Le Sous-traitant protège ses actifs accessibles aux fournisseurs.
n. Gestion des incidents : Le Sous-traitant gère les incidents et améliorations liés à la sécurité de l’information.
o. Gestion de la continuité de l’activité : Le Sous-traitant assure la continuité de la gestion de la sécurité de l’information en cas de perturbation de l’activité.
p. Conformité : Le Sous-traitant adhère aux exigences légales, législatives, réglementaires et contractuelles, ainsi qu’aux politiques et procédures du Sous-traitant.
q. Sécurité du cloud : Le Sous-traitant a mis en place des mesures de sécurité supplémentaires concernant le cloud afin de protéger l’intégrité, l’accessibilité et la confidentialité des données. Ces mesures sont notamment les suivantes : transfert de données sécurisé, interfaces logicielles sécurisées, stockage de données sécurisé, gestion des identités et des accès des utilisateurs, et sécurité des infrastructures. Le Sous-traitant procède également à des audits réguliers de la sécurité de son environnement cloud afin de détecter toute potentielle vulnérabilité et d’y remédier.
Plus d’informations concernant la certification ISO 27001 du Sous-traitant, y compris une copie du certificat lui-même, peuvent être demandées par le biais du système de tickets du Sous-traitant ou par courrier électronique.