Vous trouverez ci-dessous le contrat CTD entre vous et SuperSaaS que vous devez mettre à la disposition des clients résidant dans l’UE pour être en conformité avec le futur RGPD. Si vous êtes connecté au site en tant qu’administrateur, les champs ci-dessous seront automatiquement remplis avec les données de votre compte.
Version: 1.0
entre
et
[Nom]
[Adresse]
SuperSaaS B.V.
Strawinskylaan 6
1077 XZ Amsterdam
Pays-Bas
Dénommé ci-après responsable du traitement des données
Dénommé ci-après sous-traitant des données
1 Introduction, domaine d’application, définitions
- Ce contrat stipule les droits et obligations du responsable du traitement des données et du sous-traitant des données (ci-après dénommés les « parties ») dans le cadre du traitement des données à caractère personnel pour le compte du responsable du traitement.
- Ce contrat s’applique à toutes les activités de traitement des données personnelles du responsable du traitement des données dont ont été chargés les employés du sous-traitant des données ou ses sous-traitants.
- Les termes utilisés dans le présent contrat doivent être compris conformément à leurs définitions respectives contenues dans le règlement général sur la protection des données (RGPD) de l’UE. En outre, les déclarations peuvent être faites sous une autre forme à condition qu’une vérification appropriée soit assurée.
2 Étendue et durée du traitement des données
2.1 Étendue
Le sous-traitant des données doit exécuter les tâches suivantes :
Fournir un service Web permettant aux utilisateurs finaux du responsable du traitement des données de planifier des rendez-vous en ligne. Fournir un service Web permettant la gestion de ces rendez-vous, ainsi que celle des données des utilisateurs finaux collectées par le responsable du traitement des données.
2.2 Durée
Le traitement entamera le [Date de la création du compte] et sera effectué pendant une période indéterminée, jusqu’à ce que le compte SuperSaaS soit supprimé par le responsable du traitement des données.
3 Nature et finalité de la collecte, du traitement, ou de l’utilisation des données
3.1 Nature et finalité du traitement des données
Le traitement des données consiste à : collecter, trier, enregistrer, transférer, restreindre l’accès à et supprimer des données
Les données sont traitées dans le but suivant : permettre aux utilisateurs finaux du responsable du traitement des données de planifier des rendez-vous en ligne.
3.2 Type de données
Les données qui doivent faire l’objet du traitement sont les suivantes :
- Les données saisies par les utilisateurs finaux du responsable du traitement des données au cours du processus d’utilisation du service
3.3 Catégories de personnes concernées
Les personnes suivantes sont concernées par les données faisant l’objet du traitement :
- Les utilisateurs finaux de l’application agenda en ligne du responsable du traitement des données
4 Obligations du sous-traitant des données
- Le sous-traitant des données ne traitera les données à caractère personnel que conformément au présent contrat ou aux instructions du responsable du traitement des données, à moins qu’une obligation légale de procéder à un type spécifique de traitement des données ne pèse sur lui. Si le sous-traitant des données est lié par une telle obligation, il doit en informer le responsable du traitement des données, à moins que cela soit interdit par loi. En outre, le sous-traitant des données ne doit pas utiliser les données fournies pour le traitement à d’autres fins, notamment les siennes.
- Le sous-traitant des données déclare connaître les règles juridiques en vigueurs concernant la protection des données. Il s’engage à respecter les règles de bon traitement des données.
- Le sous-traitant des données s’engage à respecter la confidentialité du traitement des données.
- Toute personne qui pourrait avoir accès aux données traitées pour le compte du responsable du traitement des donnes doit s’engager par écrit au respect de la confidentialité, à moins qu’elle ne s’y soit déjà légalement engagée par contrat écrit auparavant.
- Le sous-traitant veille à ce que les personnes qu’il emploie et qui doivent procéder au traitement des données ont été informées des dispositions pertinentes en matière de protection des données ainsi que de ce contrat avant de commencer à traiter les données. Des formations et des mesures de sensibilisations doivent être prévues et mises en place régulièrement. Le sous-traitant des données veille à ce que les personnes chargées du traitement des données soient suffisamment informées et supervisées tout au long de l’exercice de leur tâche afin de satisfaire aux exigences de la protection des données.
- Dans le cadre du traitement des données commandé, le sous-traitant des données s’engage à assister le responsable du traitement des données dans l’élaboration et la mise à jour de la liste des activités de traitement et dans l’évaluation de la protection de données. Sur demande du responsable des données, toutes les données et documentations doivent lui être communiqués sans délais.
- Dans le cas où le responsable des données serait sujet à une inspection des autorités de surveillance ou d’un autre organisme ou dans les cas où une personne concernée exercerait ses droits à son encontre, le sous-traitant des données est tenu d’apporter le soutien requis au responsable du traitement des données si des données traitées pour le compte du responsable des données peuvent être concernées.
- Le sous-traitant des données ne peut communiquer des données ou informations à une tierce partie qu’avec le consentement préalable du responsable du traitement des données. Toute demande envoyée directement au sous-traitant sera communiquée sans délais au responsable des données.
- Lorsqu’une obligation légale l’exige, le sous-traitant choisit une personne fiable et qualifiée et la nomme agent responsable de la protection des données. Le sous-traitant des données doit alors veiller à ce que cet agent ne soit pas dans une situation de conflit d’intérêts. En cas de doute, le responsable du traitement des données peut contacter directement l’agent. Le cas échéant, le sous-traitant des données communique sans délais les informations permettant de contacter l’agent de protection des données au responsable du traitement des données ou les raisons pour lesquelles aucun agent n’a été nommé. Le sous-traitant des données informe sans délais le responsable du traitement des données de tout changement du statut de l’agent de protection des données ou de tout changement apporté au contenu de sa mission.
- Il ne peut être procédé au traitement de données que sur le territoire de l’UE. Tout changement vers un pays tiers ne peut être effectué qu’avec le consentement du responsable du traitement des données et dans le respect des conditions qui figurent au chapitre V du RGPD et dans le présent contrat.
5 Mesures techniques et d’organisation
- Tant que la protection minimum convenue est respectée, les mesures de protection des données peuvent faire l’objet de changements en fonction des évolutions technologiques et organisationnelles continues. Le sous-traitant des données met en œuvre sans délais les modifications nécessaires au maintien de la sécurité des données. Le responsable du traitement des données est informé sans délais de toute modification apportée. Tout changement significatif doit faire l’objet d’un accord entre les Parties.
- Dans le cas où les mesures de sécurité mises en œuvre par le sous-traitant des données ne seraient pas ou cesseraient d’être suffisantes, ce dernier en informe sans délais le responsable du traitement des données.
- Le responsable du traitement des données doit être informé préalablement à la création de toute copie ou duplicata de données. S’il est avéré que la création de duplicatas temporaires n’abaisse pas le degré de protection des données, celle-ci est exempte de l’obligation d’information tant que ces duplicatas sont nécessaires pour des raisons techniques.
- Dans le cas où des données seraient traitées dans une résidence privée, le sous-traitant des données doit s’assurer qu’un niveau suffisant de protection et de sécurité des données est garanti et que le responsable du traitement des données peut exercer ses droits de supervision tels que définis dans le présent contrat sans restriction.
- Tous les médias dédiés au traitement des données fournis par le responsable du traitement des données ou utilisés pour son compte doivent faire l’objet d’un étiquetage spécifique et sont soumis à une administration continue. Ces médias doivent toujours être stockés de manière appropriée et ne doivent en aucun cas être accessibles à des personnes non autorisées. Toute suppression et tout retour doivent être documentés.
6 Dispositions relatives à la modification, à la suppression et au blocage des données
- Dans le cadre du traitement des données effectué pour le compte du responsable du traitement des données, le sous-traitant n’est autorisé qu’à modifier, supprimer, ou bloquer les données, dans le respect des dispositions contractuelles ou des instructions du responsable du traitement des données.
- Le sous-traitant s’engage à respecter les instructions fournies par le responsable du traitement des données en toutes circonstances, y compris après la fin de la validité de ce contrat.
7 Sous-traitance
- Les sous-traitants ne peuvent être engagés que sur une base individuelle et avec l’accord écrit préalable du responsable du traitement des données.
- Cet accord ne peut être accordé qu’à condition que le sous-traitant se soit engagé par contrat au respect d’un standard minimum de protection des données similaires à celui contenu dans le présent contrat. Sur demande du responsable du traitement des données, le sous-traitant des données fournit le/les contrats qu’il a conclus avec le sous-traitant. Sur demande, le contrôleur inspecte les contrats entre le sous-traitant des données et le sous-traitant.
- Le responsable du traitement des données doit être en mesure d’exercer ses droits à l’égard du sous-traitant. Il doit en particulier avoir le droit de mener des inspections, ou de mandater, dans la mesure des dispositions du présent contrat, une tierce partie à cette fin.
- Les responsabilités du sous-traitant des données et du sous-traitant doivent être clairement distinguées.
- Aucune autre sous-traitance effectuée par le sous-traitant des données n’est autorisée.
- Le sous-traitant des données choisit le sous-traitant en prenant en considération les apports techniques et organisationnelles qu’il peut apporter.
- Tout transfert de données traitées pour le compte du responsable du traitement des données au sous-traitant ne sera autorisé qu’après que le sous-traitant des données a fourni une documentation convaincante attestant que le sous-traitant a rempli ses obligations dans leur intégralité.
- Il n’est possible d’engager des sous-traitants qui ne résident pas et n’exerce pas leur activité exclusivement dans l’UE pour traiter des données pour le compte du responsable du traitement des données que dans les conditions stipulées au chapitre 4 (10) du présent contrat. Plus spécifiquement, un sous-traitant ne pourra être engagé que s’il applique les mesures de protection des données appropriées. Le sous-traitant des données doit informer le responsable du traitement des données des garanties spécifiques de protection des données prévues par le sous-traitant, ainsi que des moyens permettant de vérifier leur effectivité.
- Le sous-traitant des données doit régulièrement le respect des sous-traitants de leurs obligations et cela tous les 12 mois au plus tard. L’inspection et ses résultats doivent être documentés de manière à pouvoir être compris par un tiers qualifié. La documentation doit être soumise au responsable du traitement des données sans qu’il ait à en formuler la demande
- Si le sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant des données sera tenu responsable par le responsable du traitement des données.
- Dans le cadre du présent contrat, la sous-traitance ne concerne que les services qui sont directement associés à l’activité principale de traitement des données, et ne concerne pas d’autres types de services comme le transport, la maintenance et le nettoyage, les services de télécommunication ou les services aux utilisateurs. L’obligation du sous-traitant des données d’assurer la sécurité et une protection adéquate des données reste inchangée dans ces cas.
8 Droits et obligations du responsable du traitement des données
- Le responsable du traitement des données est seul responsable de l’évaluation de la légitimité du traitement des données demandé et des droits des parties concernées.
- Le responsable du traitement des données doit documenter toutes les commandes, les commandes partielles ou les instructions données. En cas d’urgence, les instructions peuvent être données oralement. Ces instructions seront confirmées et documentées sans délais par le responsable du traitement des données.
- Le responsable du traitement des données informe le sous-traitant des données sans délais s’il constate des erreurs ou des irrégularités lors de l’examen des résultats du traitement des données.
- Le responsable du traitement des données peut nommer un auditeur indépendant lié par une obligation de confidentialité et ayant les compétences professionnelles requises pour contrôler le respect du sous-traitant des données de la présente convention de traitement des données et de la législation protégeant les données afin de déterminer la véracité et l’exhaustivité des déclarations soumises par le sous-traitant des données dans le cadre de la présente convention. L’auditeur nommé doit être raisonnablement acceptable par le sous-traitant des données. Le droit de contrôle du responsable du traitement des données est subordonné à l’obligation prévenir le sous-traitant des données par un avis écrit au moins 4 semaines à l’avance de tout audit de ce type. Tous les coûts liés à un tel audit sont supportés par le responsable du traitement des données.
- Dans la mesure du possible, les inspections dans les locaux du sous-traitant des données doivent être effectuées de manière à ses activités ne soient pas perturbées. Hormis les cas d’urgences, qui doivent être dûment documentés par le responsable du traitement des données, les inspections ne doivent être effectuées qu’après un délai de préavis approprié et pendant les heures d’ouverture du sous-traitant des données. Ces inspections ne seront pas effectuées plus fréquemment qu’une fois tous les 12 mois. Si le sous-traitant des données apporte la preuve que les obligations convenues en matière de protection des données ont été correctement respectées, toute inspection doit être limitée au contrôle d’échantillons.
9 Obligations de notification
- Le sous-traitant des données doit informer sans délais le responsable du traitement des données de toute violation commise à l’encontre de données personnelles. Tout cas légitimement suspecté doit également être signalé. Un avis doit être envoyé à l’une des adresses connues du responsable du traitement des données dans un délai de 24 heures suivant la constatation de l’incident par le sous-traitant des données. Cette notification doit contenir au moins les informations suivantes :
-
- Une description du type de violation de la protection des données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories respectives et le nombre approximatif des lots de données personnelles concernés;
- Le nom et les coordonnées du responsable de la protection des données ou un autre contact permettant d’obtenir plus d’informations;
- Une description des conséquences probables de la violation de la protection des données personnelles;
- Une description des mesures prises ou proposées par le sous-traitant des données pour rectifier la violation de la protection des données à caractère personnel et, le cas échéant, des mesures visant à en atténuer les effets négatifs éventuels.
- Le responsable du traitement des données doit par ailleurs être informé sans délais de toute perturbation significative dans l’exécution des tâches, ainsi que des violations des dispositions légales de protection des données ou des stipulations du présent contrat commises par le sous-traitant des données ou par un de ses employés.
- Le sous-traitant des données informe sans délais le responsable du traitement des données de toute inspection ou mesure prise par les autorités de contrôle ou par une tierce partie si elles concernent le traitement de données commandé.
- Le sous-traitant des données soutient le responsable du traitement des données dans ces obligations dans la mesure nécessaire, conformément aux articles 33 et 34 du RGPD.
10 Instructions
- Le responsable du traitement des données se réserve le droit de donner toutes instructions pour le traitement des données pour son compte.
- Le sous-traitant des données informe sans délais le responsable du traitement des données lorsqu’une instruction semble enfreindre des dispositions légales. Le sous-traitant des données a le droit de renoncer à exécuter les instructions en question jusqu’à ce qu’elles aient été confirmées ou modifiées par la partie responsable au nom du responsable du traitement des données.
- Le sous-traitant des données doit documenter les instructions émises et leur mise en œuvre.
11 Fin du traitement commandé
- Lorsqu’un contrat s’achève ou à tout moment à la demande du responsable du traitement des données, le sous-traitant des données doit soit détruire les données traitées dans le cadre de la commande, soit communiquer les données à la discrétion du responsable du traitement des données. Toutes les copies des données encore existantes doivent également être détruites. Les données doivent être détruites de telle sorte que leur restauration ou recréation ne soit plus possible, même en cas d’effort considérable.
- Le sous-traitant des données est tenu d’assurer l’envoi ou la suppression immédiate des données des sous-traitants.
- Toute documentation pouvant servir de preuve du traitement approprié des données doit être conservée par le sous-traitant des données en accord avec les délais de conservation légaux, y compris après l’expiration du contrat. Le sous-traitant des données peut être appelé à soumettre la documentation correspondante au responsable du traitement des données après la fin de ses obligations contractuelles.
12 Rémunération
La rémunération du sous-traitant des données est stipulée de manière définitive dans les Conditions d’utilisation. Aucune rémunération distincte ou remboursement n’est prévu dans ce contrat.
13 Responsabilité
- Le responsable du traitement des données est tenu d’indemniser, le cas échéant, toute personne pour les dommages causés par une partie non autorisée ou pour un traitement incorrect des données dans le cadre du présent contrat.
- Dans la mesure où des données ont été traitées dans le cadre de la présente convention, le responsable du traitement des données assume la charge de prouver que tout dommage résulte de circonstances dont le sous-traitant des données est responsable. Si cette preuve n’a pas été apportée, le responsable du traitement des données doit, lorsqu’il a été invité à le faire, libérer le sous-traitant des données de toutes les demandes qui lui sont opposées en relation avec le traitement de données.
- Le sous-traitant des données est responsable envers le responsable du traitement des données pour tout dommage qu’il aurait causé de manière fautive, ou tout dommage causé de manière fautive par un des employés, un de ses sous-traitants, ou par l’agence d’exécution du contrat dans le cadre de la prestation contractuelle demandée.
- La responsabilité du sous-traitant des données est limitée au montant qui lui a été payé par le responsable du traitement des données au cours des deux années précédant l’incident à l’origine de la responsabilité.
- Les sections 13 (2) et 13 (3) ne s’appliquent pas si le dommage est survenu à la suite de la bonne mise en œuvre du service demandé ou d’une instruction fournie par le contrôleur.
14 Droit de résiliation extraordinaire
- Le responsable du traitement des données peut, à tout moment, résilier le présent contrat sans préavis (« résiliation extraordinaire ») si le sous-traitant des données a commis une violation grave des règles de protection des données ou des dispositions du présent contrat, s’il ne peut ou ne veut pas exécuter le présent contrat, ou s’il refuse d’accepter les droits de contrôle et de supervision du responsable du traitement des données en violation du présent contrat.
- Une violation grave est notamment réputée avoir été commise si le sous-traitant des données n’a pas rempli ou n’a pas respecté les obligations prévues par la présente convention, en particulier les mesures techniques et organisationnelles.
- En ce qui concerne les violations mineures, le responsable du traitement accorde au sous-traitant des données un délai raisonnable permettant de remédier à la situation. S’il n’est pas remédié à la situation dans le délai imparti, le responsable du traitement des données pourra procéder à une résiliation extraordinaire du contrat.
15 Dispositions diverses
- Les deux parties sont tenues respecter le secret des affaires et la confidentialité des mesures de sécurité des données qui ont été obtenues par l’une ou l’autre partie dans le cadre de leur relation contractuelle, même après l’expiration du présent contrat. En cas de doute sur le caractère confidentiel de l’information, celle-ci doit être traitée de manière confidentielle jusqu’à ce que l’autre partie ait donné son accord écrit pour lever la confidentialité.
- Dans le cas où les biens du responsable du traitement des données seraient menacées par le sous-traitant des données par des mesures prises par une tierce personne (saisie ou confiscation, par exemple), par une procédure d’insolvabilité, une procédure de règlement des différents, ou par toute autre chose, le sous-traitant des données en avertit sans délais le responsable du traitement des données.
- Dans le cas où des parties de la présente convention seraient invalides, la validité du reste de la convention ne serait en aucun cas affectée.