Passer au contenu principal

Dispositions RGPD

Mis à jour il y a plus de 2 mois

Préambule

Dans le cadre de la mise en exploitation des solutions logicielles qu’elle commercialise, la société SAFEWARE (Safeware) peut être amenée à traiter des Données à Caractère Personnel pour le compte de ses Clients.

En application des dispositions du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 sur la protection des données, entré en vigueur le 25 mai 2018 (Ci-après désigné « RGPD »), Safeware précise ici les conditions dans lesquelles elle met en œuvre le Traitement des Données à Caractère Personnel.

ARTICLE 1 - Définitions

« Données à Caractère Personnel », toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« Responsable du Traitement », la personne physique ou morale, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement et / ou qui traite des Données à Caractère Personnel. Pour éviter tout doute, il s’agit ici de Safeware.

« Client », la personne physique ou morale contractualisant avec Safeware pour l’utilisation et l’exploitation d’une ou plusieurs des solutions logicielles commercialisées par Safeware. Dans le cas où le Client de Safeware est un partenaire, lui-même contractualisant avec un client final, utilisateur des solutions Safeware, il est précisé que c’est le partenaire qui est responsable de la mise œuvre du RGPD auprès du client final, Safeware étant responsable de la mise en œuvre du RGPD auprès de son propre Client, à savoir le partenaire.

«Traitement », toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de Données à

Caractère Personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

« Personne Concernée », toute personne physique dont les données à Caractère Personnel sont utilisées dans le cadre du Traitement.

« Violation », une violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à Caractère Personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données à Caractère Personnel.

ARTICLE 2 - Objet

Le présent document détermine, conformément aux dispositions du RGPD, les conditions et modalités des Traitements de Données à Caractère Personnel effectués par le Responsable de Traitement.

ARTICLE 3 - Durée

Le présent document s’applique pour toute la durée des relations commerciales entre Safeware et le Client.

ARTICLE 4 - Engagements du Responsable du Traitement

Conformément à l’article 28 du RGPD, le Responsable du Traitement s’engage à :

  • Traiter les données uniquement pour la ou les seule(s) finalité(s) d’exploitation des solutions logicielles contractualisées avec le Client.

  • Traiter les données conformément au RGPD et aux instructions du Client.

  • Conseiller et informer le Client, en particulier dans le cas où le Responsable de traitement considère qu’une instruction émanant du Client risque de constituer une infraction au RGPD ou à toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données.

  • Informer le Client si le Responsable du Traitement envisage de procéder à un transfert de données vers un pays hors Union Européenne.

  • Garantir la confidentialité des Données à Caractère Personnel traitées pour le compte du Client.

  • S’assurer que les Données à caractère personnel sont localisées dans un pays offrant un niveau de protection équivalent au niveau de protection des données personnelles dans l’Union Européenne.

  • S’assurer, en cas de transfert de Données à caractère personnel hors de l’Union-Européenne ou d’un pays offrant un niveau de protection équivalent au niveau de protection de l’Union- Européenne, que ledit transfert est encadré par le Bouclier de protection des données mis en place entre l’Union-Européenne et les Etats-Unis (« Privacy Shield ») ou par la signature de clauses contractuelles types établies par la Commission Européenne.

  • Veiller à ce que les personnes autorisées à traiter les Données à Caractère Personnel dans le cadre des relations commerciales entre les Parties : (i) s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et (ii) reçoivent la formation nécessaire en matière de protection des Données à Caractère Personnel.

  • Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des Données à Caractère Personnel dès la conception (Privacy by Design).

  • Assister et conseiller le client dans le cadre de la mise en œuvre de ses obligations au titre du RGPD, en lien avec les applications fournies.

  • Ne pas louer, céder ou communiquer les Données à Caractère Personnel traitées dans le cadre des relations commerciales à des tiers non autorisés.

  • Respecter les durées de conservation des Données à Caractère Personnel strictement nécessaires aux Traitements mis en place et conformément aux choix du client.

ARTICLE 5 - Sous-traitance

Le Responsable de Traitement peut faire appel à des sous-traitants pour mener des activités de Traitement spécifiques nécessitant l’accès aux Données à Caractère Personnel du Client sous réserve de l’accord préalable du Client, selon les formes indiquées ci-après. En cas de souhait d’ajout d’un nouveau sous-traitant ou de remplacement d’un sous-traitant, le Responsable du Traitement doit demander par écrit ou par courrier électronique avec confirmation de réception, l’autorisation préalable et spécifique du Client. La demande doit indiquer clairement (i) les activités de Traitement sous-traitées, (ii) l’identité et les coordonnées du sous-traitant et (iii) les dates du contrat de sous-traitance. Le Client dispose d’un délai maximum de quinze (15) jours à compter de la date de réception de cette demande pour donner son autorisation ou son refus. A défaut de réponse dans le délai précité, la demande d’autorisation du sous-traitant est réputée acceptée par le Client.

Ne sont pas considérées comme sous-traitants au titre des présentes « Dispositions RGPD » les entreprises appartenant au même groupe « Groupe HDS » que Safeware, à savoir les filiales de HDS Group SAS, lorsqu’elles situées sur le territoire de l’Union Européenne.

Le Responsable du Traitement s’engage à faire respecter, par le sous-traitant, les obligations qui lui incombent au titre des présentes « Dispositions RGPD ». Le sous-traitant ne pourra agir que dans le cadre strict des instructions données par le Responsable du Traitement. Dans tous les cas, le Responsable du Traitement demeure responsable à l’égard du Client et il s’assurera que le sous-traitant présente les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées afin que le Traitement réponde aux exigences des présentes « Dispositions RGPD ».

Le Responsable du Traitement s’engage à communiquer sur demande du Client la liste des sous- traitants au Client.

ARTICLE 6 – Droit d’information des Personnes Concernées

Le Responsable du Traitement tient à disposition des Personnes Concernées -sur demande du Client - l’informations prévues à l’article 13 du RGPD (telles que les finalités et la base juridique du traitement, les destinataires des données, leur durée de conservation, etc.).

ARTICLE 7 - Exercice des droits des Personnes Concernées

Le Responsable de traitement aidera le Client – sur demande - à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Personnes Concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du Traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Toute demande doit être adressée par le Client au Responsable du Traitement, via le portail de support mis en œuvre par Safeware.

ARTICLE 8 - Notification des Violations de Données à Caractère Personnel

8.1 Le cas échéant, le Responsable de traitement notifie au Client toute Violation de Données à Caractère Personnel dont il aurait connaissance dans les meilleurs délais et au maximum dans les 48 heures après en avoir eu connaissance. Cette notification peut être accompagnée de toute documentation utile rendant compte de cette Violation.

En cas de Violation des Données à Caractère Personnel, le Responsable du Traitement et le Client s’engagent à échanger sur la nature de l’atteinte portées aux droits des Personnes Concernées. Le Responsable du Traitement s’engage à apporter toute son assistance et ses compétences afin d’aider le Client à déterminer si la Violation est susceptible, ou non, d’engendrer un risque pour les droits et libertés des Personnes Concernées. Le Client décidera in fine si la Violation est susceptible, ou non, d’engendrer un risque pour les droits et libertés des Personnes Concernées.

8.2 Le cas échéant, le Responsable du Traitement notifie à l’autorité de contrôle compétente, les Violations de Données à Caractère Personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir eu connaissance.

La notification contient au moins :

  • La description de la nature de la Violation y compris, si possible, les catégories et le nombre approximatif de Personnes Concernées susceptibles d’être impactées par la Violation et les catégories et le nombre approximatif d’enregistrements de Données à Caractère Personnel concernés.

  • Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues.

  • La description des conséquences probables de la Violation de Données à Caractère Personnel.

  • La description des mesures prises ou que le Responsable du Traitement propose de prendre pour remédier à la Violation, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

8.3 Le cas échéant, le Client doit communiquer la Violation de Données à Caractère Personnel aux Personnes Concernées susceptibles d’être impactées par la Violation dans les meilleurs délais, lorsque cette Violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. La communication aux Personnes Concernées susceptibles d’être impactées par la Violation décrit, en des termes clairs et simples, la Violation et contient au moins :

  • La description de la nature de la Violation y compris, si possible, les catégories et le nombre approximatif d’enregistrements de Données à Caractère Personnel pour chaque Personne Concernée impactée par la Violation.

  • Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues.

  • La description des conséquences probables de la Violation de Données à Caractère Personnel.

  • La description des mesures prises ou que le Responsable du traitement propose de prendre pour remédier à la Violation de Données à Caractère Personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Le Responsable du Traitement apportera toute son aide au Client dans le cadre de la notification de Violation aux Personnes Concernées susceptibles d’être impactées par la Violation et à l’autorité compétente telles que décrites ci-dessus.

ARTICLE 9 - Mesures de sécurité

Le Responsable du Traitement s’engage à mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des Données à Caractère Personnel adapté aux risques présentés par les Traitements.

ARTICLE 10 - Sort des Données à Caractère Personnel

Dans les trente (30) jours calendaires suivant le terme du contrat, le Responsable du Traitement s’engage à :

  • Restituer, au client sur demande, l’ensemble des Données à Caractère Personnel échangées dans le cadre de leur relation commerciale, dans un format standard. Cette demande de restitution sera matérialisée par une commande du Client suivant un devis établi par le Responsable du Traitement.

  • Détruire toutes les copies existantes dans les systèmes d’information du Responsable du

Traitement. Dans les sept (7) jours ouvrés suivant la destruction des Données à Caractère Personnel, le Responsable du Traitement produira un certificat de destruction des données, qui pourra être communiqué au Client sur demande.

ARTICLE 11 - Délégué à la protection des données / référent données personnelles

Le nom et les coordonnées du « référent données personnelles » du Responsable de traitement peuvent être communiqués sur simple demande au support client à l'adresse [email protected].

ARTICLE 12 - Registre des catégories d’activités de Traitement – Documentation

12.1 Le Responsable du Traitement tient à jour une liste de toutes les catégories d’activités de Traitement effectuées pour le compte du client comprenant :

  • Le nom et les coordonnées du Responsable du Traitement.

  • Les catégories de Traitements effectués.

  • Le cas échéant, les transferts de Données à Caractère Personnel vers un pays tiers.

  • Une description générale des mesures de sécurité techniques et organisationnelles adoptées pour garantir la sécurité des Données à Caractère Personnel.

12.2 Le Responsable du Traitement s’engage à communiquer sur demande au Client, la documentation nécessaire pour démontrer le respect de ses engagements au titre des présentes « Dispositions RGPD » et à permettre la réalisation d’audits par le Client ou par un autre auditeur qu’il aura mandaté.

12.3 Le Responsable du Traitement s’engage à communiquer sur demande au Client, la documentation nécessaire pour démontrer le respect de ses engagements au titre des présentes « Dispositions RGPD » et à permettre la réalisation d’audits par le Client ou par un autre auditeur qu’il aura mandaté.

ARTICLE 13 – Audits

Pendant la durée de la relation contractuelle entre Safeware et le Client, et sous réserve d’un délai de prévenance écrit minimum, qui ne saurait être inférieur à trente (30) jours ouvrés, le Client pourra procéder à toute vérification qui lui paraîtrait utile pour constater le respect par le Responsable du Traitement de ses engagements au titre des présentes « Dispositions RGPD », notamment par le biais d’un audit. Les frais d’audit seront à la charge du client. Le Client indiquera également la date prévue de l’audit, les éléments à vérifier au cours de l’audit, ainsi que l’identité des auditeurs. Les auditeurs auront accès aux locaux du Responsable du Traitement si nécessaire. Ils devront respecter les règles internes d’hygiène et de sécurité applicables à ces locaux.

Le Client pourra procéder au maximum à un (1) audit par an.

Le Responsable du Traitement s’engage à répondre aux demandes d’audit du Client effectuées par lui ou par un auditeur indépendant que le Client aura mandaté. Par « indépendant », on entend un tiers n’ayant pas de conflit d’intérêt avec la relation contractuelle entre Safeware et le Client, ayant une qualification adéquate, et libre de fournir les détails de ses remarques et conclusions d’audit tant au Client qu’au Responsable du Traitement. Il est expressément convenu que l’audit portera exclusivement sur la vérification du respect des engagements au titre des présentes « Dispositions RGPD » telles que :

  • La vérification des mesures de sécurité mises en œuvre par le Responsable du Traitement,

  • La vérification des journaux de localisation des données, de copie et de suppression des données,

  • L’analyse des mesures mises en place pour supprimer les données, pour prévenir toutes transmissions illégales de données ou pour empêcher le transfert de données vers un pays non autorisé par le Responsable du Traitement.

Articles connexes
Assurer la conformité & la sécurité (SaaS / On‑prem)
RGPD / DPA — responsabilités, engagements & preuves
Gérer les incidents & vulnérabilités (détection → réponse → remédiation)
FAQ DPO / RGPD
Plan d'Assurance Sécurité (PAS)
Avez-vous trouvé la réponse à votre question ?