Contrat de traitement de données
Conformément aux exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques en ce qui concerne le traitement des données personnelles et à la libre circulation de ces données, abrogeant la directive 95/46/CE (ci-après dénommé « le RGPD »), le fournisseur (ci-après dénommé le « processeur ») et vous (ci-après dénommé le « contrôleur ») entrez dans la relation contractuelle de traitement des données afin de définir les modalités du traitement des données personnelles, les modalités de sa protection, ainsi que la définition des autres droits et obligations des deux parties dans le traitement des données personnelles des personnes concernées pour le compte du contrôleur au cours de l'exécution des tâches, objet des présentes conditions comme contrat principal.
1. Traitement des données personnelles. Les services fournis en conformité avec les présentes conditions peuvent inclure le traitement d'informations relatives à une personne physique identifiée ou identifiable répertoriée dans la politique de confidentialité (ci-après dénommées les « données personnelles »).
2. Autorisation. Le responsable du traitement autorise le sous-traitant à traiter des données personnelles, y compris les instructions suivantes :
(i) « Objet du traitement » : la fourniture de services conformes aux présentes conditions, Le sous-traitant n’est autorisé à traiter des données personnelles qu’au nom du responsable du traitement concernant la fourniture de services demandés par le responsable du traitement. Toutes les informations collectées à des fins supplémentaires sont traitées en dehors de la relation contractuelle responsable du traitement-sous-traitant.
(ii) « Période de traitement » : désigne la période qui s'écoule entre le début de la coopération en vertu des présentes conditions et la cessation des services,
(iii) Champ d'application et catégories de données personnelles. Les services sont destinés uniquement au traitement de données personnelles générales. Toutefois, le responsable du traitement est seul responsable de la détermination du champ d'application des données personnelles.
(iv) « Personne concernée » : une personne physique en tant qu’utilisateur autorisé des dispositifs du contrôleur,
(v) « Opérations de traitement » : toutes les opérations nécessaires au traitement,
(vi) « Instructions documentées » : désigne les instructions décrites dans les présentes conditions, ses annexes, la politique de confidentialité et la documentation du service. Le responsable du traitement est responsable de l’admissibilité juridique du traitement des données personnelles par le sous-traitant en ce qui concerne les dispositions applicables respectives de la loi sur la protection des données.
3. Obligations du sous-traitant. Le processeur est tenu de :
(i) traiter les données personnelles uniquement sur la base d’instructions documentées et aux fins définies dans les conditions d'utilisation, ses annexes, la politique de confidentialité et la documentation de service,
(ii) instruire les personnes autorisées à traiter les données personnelles (ci-après dénommées les « personnes autorisées ») sur leurs droits et devoirs conformément au RGPD, sur leur responsabilité en cas de violation et de s’assurer que les personnes autorisées se sont engagées à respecter la confidentialité et qu’elles suivent les instructions documentées,
(iii) mettre en œuvre et suivre les mesures décrites dans les conditions d'utilisation, ses annexes, la politique de confidentialité et sa documentation de service,
(iv) aider le responsable du traitement à répondre aux demandes des personnes concernées relatives à leurs droits. Le sous-traitant ne doit pas corriger, supprimer ni restreindre le traitement des données personnelles sans avoir reçu d'instructions du responsable du traitement. Toutes les demandes de la personne concernée relatives aux données personnelles traitées au nom du responsable du traitement doivent être transmises au responsable du traitement sans délai.
(v) aider le responsable du traitement à signaler toute violation de données personnelles à l'autorité de contrôle et à la personne concernée, Le sous-traitant doit informer le contrôleur de toute violation liée au traitement des données personnelles ou à la sécurité des données personnelles dès sa découverte. Le sous-traitant doit coopérer dans une mesure raisonnable à l'enquête et à la correction d'une telle violation et prendre des mesures raisonnables pour limiter les conséquences négatives qui pourraient en découler.
(vi) au choix du responsable du traitement, de supprimer ou de renvoyer toutes les données personnelles au responsable du traitement dès la fin de la période de traitement. Le responsable du traitement s'engage à informer le sous-traitant de sa décision dans les dix (10) jours suivant la fin de la période de traitement. Cette disposition n'affecte pas le droit du sous-traitant de conserver les données personnelles dans la mesure nécessaire à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique, à des fins statistiques ou à des fins de constatation, d'exercice ou de défense d'un droit en justice.
(vii) tenir un registre à jour de toutes les catégories d'activités de traitement qu'il a effectuées pour le compte du contrôleur,
(viii) mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer la conformité dans le cadre des conditions, de ses annexes, de la politique de confidentialité et de la documentation de service. Lorsqu’un audit ou un contrôle du traitement des données personnelles par le responsable du traitement est prévu, ce dernier est tenu d'informer le sous-traitant par écrit au moins trente (30) jours avant l'audit ou le contrôle prévu.
4. Engager un autre sous-traitant. Le sous-traitant est autorisé à engager un autre sous-traitant pour effectuer des activités de traitement précises telles que la fourniture de stockage en nuage et l'infrastructure du service conformément aux présentes conditions, à l'annexe, à la politique de confidentialité et à la documentation du service. Actuellement, Microsoft fournit un stockage et une infrastructure dans le nuage dans le cadre du Azure Cloud Service. Même dans ce cas, le processeur reste le seul point de contact et la partie responsable de la conformité. Le sous-traitant s'engage à informer le responsable du traitement de l'ajout ou du remplacement d'un autre sous-traitant afin de lui donner la possibilité de s'opposer à ce changement.
5. Territoire du traitement. Le processeur veille à ce que le traitement ait lieu dans l'Espace économique européen ou dans un pays désigné comme sûr par décision de la Commission européenne sur la base de la décision du contrôleur. Les clauses contractuelles types s'appliquent aux transferts et aux traitements effectués en dehors de l'Espace économique européen ou d'un pays désigné comme sûr par décision de la Commission européenne à la demande du responsable du traitement.
6. Sécurité. Le processeur est certifié ISO 27001:2013 et utilise le cadre ISO 27001 pour mettre en œuvre une stratégie de sécurité de la défense par couches lors de l'application de contrôles de sécurité au niveau de la couche réseau, des systèmes d'exploitation, des bases de données, des applications, du personnel et des processus opérationnels. La conformité aux exigences réglementaires et contractuelles est régulièrement évaluée et examinée de la même manière que les autres infrastructures et opérations du processeur, et les mesures nécessaires sont prises pour assurer la conformité de manière continue. Le sous-traitant a pris des mesures pourla sécurité des données à l’aide de l’ISMS basé sur ISO 27001. La documentation de sécurité comprend principalement des documents de politique pour la sécurité des informations, la sécurité physique et la sécurité des équipements, la gestion des incidents, le traitement des fuites de données et des incidents de sécurité, etc.
7. Mesures techniques et organisationnelles. Le sous-traitant doit protéger les données personnelles contre les dommages et la destruction occasionnels et illégaux, la perte occasionnelle, le changement, l’accès non autorisé et la divulgation. À cette fin, le sous-traitant doit adopter des mesures techniques et organisationnelles adéquates correspondant au mode de traitement et au risque que présente le traitement pour les droits des personnes concernées, conformément aux exigences du RGPD. Une description détaillée des mesures techniques et organisationnelles est énoncée dans la politique de sécurité.
8. Coordonnées du sous-traitant. Toutes les notifications, les requêtes, les demandes et les autres communications relatives à la protection des données personnelles sont adressées à ESET, spol. s.r.o., attention de : Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.