CHARTE RGPD
ENTRE LES SOUSSIGNES :
« Le Client »,
D’une part,
ET, CAPITOLE MOBILE, SAS au capital de 15.000 euros, immatriculée au Registre du Commerce et des Sociétés de TOULOUSE sous le numéro 515 404 507 dont le siège social est situé au 1 rue du Col d’Aspin 31600 MURET, représentée par M. MOLINA Romain en qualité de Président de la Société.
Ci-après dénommée « Le Prestataire »
D’autre part,
Le Règlement UE (2016/679) adopté par le Parlement Européen et le Conseil en date du 27 avril 2016 est applicable à compter du 25 mai 2018 (ci-après dénommé « Le Règlement »).
Le Prestataire (ci-après dénommé « Le Sous-traitant »), étant amené à traiter des données à caractère personnel dans le cadre du contrat initial, pour le Compte du Client (ci-après « Le Responsable de traitement »), les Parties souhaitent préciser leurs obligations respectives.
Le présent contrat a donc pour objet de définir les nouvelles dispositions applicables entre les Parties, au titre des traitements de données à caractère personnel, confié par le Client (Responsable de traitement) au Prestataire (Sous-traitant).
Le présent contrat vient en conséquence modifier mutatis mutandis les dispositions du contrat conclu entre les parties, relativement aux articles traitant des données à caractère personnel dans le contrat initialement conclu.
ARTICLE 1 – DEFINITIONS
Aux fins du présent contrat, les termes « données à caractère personnel », « traitement », « limitation du traitement », « fichier », « responsable de traitement », « sous-traitant », « destinataire », « tiers »,
« consentement », « violation de données à caractère personnel », « autorité de contrôle » ont la même signification que dans le Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après (« RGPD »).
ARTICLE 2 – TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL PAR LE PRESTATAIRE
Dès lors que la prestation implique un traitement de données à caractère personnel, il est convenu que le Prestataire aura la qualité de sous-traitant intervenant dans le cadre de la mise en œuvre du traitement pour le compte du Client.
Dans ce contexte, le Prestataire assure qu’il dispose des compétences techniques et organisationnelles nécessaires afin de réaliser les prestations qui lui sont confiées par le Client dans le respect des obligations fixées dans le présent article et exclusivement pour l’objet prévu au contrat.
En conséquence, le Prestataire s’engage à :
- Ne procéder au traitement de données à caractère personnel que sur instruction écrite du Client et informer ce dernier si une instruction lui paraît contraire à la règlementation sur la protection des données,
- Ne conserver les données à caractère personnel traitées, sous une forme permettant l'identification des personnes, que le temps nécessaire à l’exécution des Prestations,
- Accompagner le Client dans le cadre de la réalisation d’études d’impact sur la vie privée,
- Assister le Client, sous réserve d’en être informé, afin de répondre à toute demande d’exercice de droits par les personnes concernées et/ou toute demande d’information des autorités de contrôle et de protection des données,
- Informer le Client de toute demande qui lui serait adressée directement et plus généralement de tout événement affectant significativement le traitement des données à caractère
ARTICLE 3 – OBLIGATIONS DE SECURITE A LA CHARGE DU SOUS-TRAITANT
Mise en œuvre des mesures de sécurité physique suivantes :
- Données hébergées sur des serveurs sécurisés physiquement implantés dans des datacenters tous exclusivement présents en France métropolitaine (OVH siège social à Roubaix 59100 – SIRET : 424 761 419 00045).
Mise en œuvre des mesures de sécurité logistique suivantes :
- Accès aux données via des connexions sécurisées
- Serveurs monitorés 7j/7 24h/24
- Dispositifs de sécurités logiciels : monitoring IP, pare-feu…
- Mise à jour et Audits sécurités récurrents
Mise en œuvre des mesures de sécurité organisationnelles suivantes :
- Nous certifions répondre aux exigences de la CNIL pour laquelle nous nous faisons l’objet d’une déclaration : 1925632.
- Nous sommes une entreprise 100% française (siège social au 1 rue du col d’Aspin - 31600 Muret). L'ensemble de nos locaux sont situés sur le territoire français métropolitain.
- Seul le DPO est en mesure d’accéder aux données privées utilisateur déposées par le client. Aucun autre employé n’est en capacité d’accéder aux données privées utilisateur.
- Sur demande du client, nous nous engageons à détruire sans délai toutes les données enregistrées sur l’ensemble de nos serveurs.
- Nous certifions n’avoir aucune utilisation commerciale (revente ou échange à un tiers) des données privées déposées par le client dans le cadre de son activité sur nos interfaces.
- Nous gérons automatiquement les désabonnements « STOP » : lorsqu'un "STOP" est collecté le numéro en question est enregistré dans la liste "noire" du compte et devient de fait injoignable (même si toujours présent dans une liste enregistrée).
Conformément aux règlementations relatives au traitement de données à caractère personnel, les personnes dont les données personnelles font l’objet d’un traitement disposent d’un droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données qui peut être exercé en s’adressant au Responsable de traitement.
Le Responsable de traitement s’engage à :
- Informer et recueillir le consentement de chaque personne ayant la qualité d’Utilisateur du traitement les concernant et de leurs droits décrits ci-dessus,
- Coopérer avec et assister le Sous-traitant pour lui permettre de se conformer à ses obligations en matière de protection des données personnelles.
Dans la mesure du possible, le Sous-traitant doit aider le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernés.
Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, le Sous-traitant doit adresser ces demandes au Responsable de traitement, dès réception, par courrier électronique.
ARTICLE 5 - COMMUNICATION A DES TIERS
Les données à caractère personnel traitées en exécution du Contrat ne pourront faire l’objet d’aucune divulgation à des tiers en dehors des cas prévus dans le Contrat ou de ceux prévus par une disposition légale et/ou réglementaire.
Le Prestataire informera le Client de toute demande d’accès ou de communication émanant d’un tiers se prévalant d’une autorisation découlant de l’application de dispositions légales ou réglementaires.
Dans l’hypothèse où le Prestataire réaliserait tout ou partie du traitement de données à caractère personnel en dehors du territoire d’un pays membre de l’Union Européenne, de l’Espace Economique Européen (EEE) ou d’un pays reconnu comme adéquat par l’Union Européenne – y compris l’hébergement – il s’engage à encadrer le transfert des données à caractère personnel par des garanties appropriées, notamment des clauses types adoptées par la Commission Européenne.
Dans les cas où le Prestataire aurait recours à la sous-traitance de tout ou partie du traitement de données à caractère personnel, il s’assure qu’aucune information à caractère personnel n’est transférée hors de l’Union Européenne, de l’EEE ou d’un pays reconnu comme adéquat par ses propres sous-traitants ou partenaires sans un encadrement par des garanties appropriées. Ces garanties devront être préalablement portées à la connaissance du Client.
ARTICLE 6 - TRANSFERTS DE DONNEES A CARACTERE PERSONNEL EN DEHORS DE L’UNION EUROPEENNE
Dans l’hypothèse où le Prestataire réaliserait tout ou partie du traitement de données à caractère personnel en dehors du territoire d’un pays membre de l’Union Européenne, de l’Espace Economique Européen (EEE) ou d’un pays reconnu comme adéquat par l’Union Européenne – y compris l’hébergement – il s’engage à encadrer le transfert des données à caractère personnel par des garanties appropriées, notamment des clauses types adoptées par la Commission Européenne.
Dans les cas où le Prestataire aurait recours à la sous-traitance de tout ou partie du traitement de données à caractère personnel, il s’assure qu’aucune information à caractère personnel n’est transférée hors de l’Union Européenne, de l’EEE ou d’un pays reconnu comme adéquat par ses propres sous-traitants ou partenaires sans un encadrement par des garanties appropriées. Ces garanties devront être préalablement portées à la connaissance du Client.
ARTICLE 7 - CONSERVATION DES DONNEES A CARACTERE PERSONNEL
A la fin du contrat et sauf obligation de conservation prescrite par la loi, le Prestataire s’engage à restituer ou à détruire, selon les instructions et dans les délais indiqués par le Client, l’ensemble des données à caractère personnel traitées.
Dans le cas d’une destruction des données à caractère personnel, celle-ci pourra, à la demande du Client, être attestée par un procès-verbal de destruction.