Données personnelles

PRÉAMBULE

Etant entendu que :

  • Le Prestataire fournit des services au Client au titre du Contrat,
  • Ces services impliquent un ou des Traitement(s) de Données à caractère personnel,

Les Parties souhaitent établir dans ce cadre leurs obligations respectives, par la présente Annexe.

Imprimer les Données personnelles

DÉFINITIONS

Les termes en majuscules utilisés dans la présente Annexe ont le sens qui leur est attribué dans le Contrat. Les autres termes non définis dans le Contrat doivent être interprétés conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après, le «RGPD»).

Le « Prestataire » désigne ici la société Relyens.

I. TRAITEMENTS POUR LESQUELS RELYENS AGIT EN QUALITÉ DE RESPONSABLE DE TRAITEMENT

Dans le cadre de la réalisation de ses prestations de conseil, le Prestataire est amené à traiter les données des collaborateurs du Client, en qualité de Responsable de traitement, aux fins de la gestion de la relation contractuelle. Le Client peut être destinataire de comptes-rendus contenant certaines des données personnelles traitées par le Prestataire.

Dans ce cadre, le Prestataire s’engage à respecter la réglementation en vigueur applicable au Traitement de Données à caractère personnel (ci-après, la « législation en matière de protection des données ») et, en particulier, le RGPD et la Loi n° 78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés (ci-après, la « loi informatique et libertés »). Les activités de traitement sont effectuées par le Responsable de traitement pour la durée prévue au Contrat, augmentée des durées de prescription.

En application de la législation en vigueur, toute personne concernée peut demander l’accès, la rectification, l’effacement, la portabilité des données la concernant, demander une limitation du traitement ou s’y opposer, et définir des directives relatives au sort de ses données après son décès en écrivant à l’adresse mail suivante : privacy.sps@relyens.eu. Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.

II. TRAITEMENTS POUR LESQUELS RELYENS AGIT EN QUALITE DE SOUS-TRAITANT DU CLIENT, RESPONSABLE DE TRAITEMENT

1. OBJET

La présente Annexe a pour objet de définir les conditions dans lesquelles le Prestataire s’engage à effectuer pour le compte du Client les opérations de Traitement de Données à caractère personnel nécessaires à l’exécution du Contrat et définies ci-après.
Dans ce cadre, les Parties s’engagent à respecter la réglementation en vigueur applicable au Traitement de données à caractère personnel (ci-après, « Législation en matière de protection des données ») et, en particulier, le Règlement européen sur la protection des données et la Loi n° 78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés (ci-après, « la Loi informatique et libertés »).

2. DESCRIPTION DU TRAITEMENT FAISANT L’OBJET DE LA SOUS-TRAITANCE DANS LE CADRE DE L’OFFRE DE SERVICES

2.1. SERVICES POUR LESQUELS UN TRAITEMENT DE DONNEES A CARACTERE PERSONNEL EST NECESSAIRE

Le Prestataire, en sa qualité de Sous-traitant au sens du RGPD, est autorisé à traiter pour le compte du Client, agissant en qualité de Responsable de traitement, les Données à caractère personnel nécessaires à la fourniture du ou des service(s) définis par le Contrat, et en particulier :

Objet et nature des opérations de Traitement Opérations de traitement des données personnelles des collaborateurs du Client nécessaires à la fourniture des services telles que la collecte, l’enregistrement, la consultation, la structuration, l’analyse, le rapprochement.
Finalité(s) Fourniture des services de conseil et d’accompagnement personnalisés au Client et à ses collaborateurs visés par le Contrat (médiation, coaching, formations, accompagnement au reclassement, soutien psychologique, étude ergonomiques, enquêtes et statistiques, études d’impacts organisationnels, évaluation et prévention des RPS…).
Catégories de Données à caractère personnel traitées En fonction des situations d’utilisation, les catégories de données suivantes peuvent être concernées par le Traitement :

☒ État-civil, identité, données d’identification, images, coordonnées (ex. : nom, prénom, adresse, photographie, date et lieu de naissance, etc.)

☒ Vie personnelle (ex. : habitudes de vie, situation familiale, etc.)

☒ Vie professionnelle (ex. : CV, situation professionnelle, scolarité, formation, distinctions, diplômes, etc.)

☒ Informations d’ordre économique et financier (ex. : revenus, situation financière, données bancaires, etc.)

☒ Données de connexion (ex. : adresses IP, logs, identifiants des terminaux, identifiants de connexion, informations d’horodatage, etc.)

☐ Données de localisation (ex. : déplacements, données GPS, GSM…)

☐ Internet (ex. : cookies, traceurs, données de navigation, mesures d’audience…)

☐ Numéro d’identification national unique (NIR)

☒ Données concernant la santé (données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne)

☐ Autres données « sensibles » (données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale des personnes, des données génétiques et biométriques, la vie sexuelle ou l’orientation sexuelle des personnes, des données relatives aux condamnations pénales ou aux infractions) : préciser la nature des données sensibles.

_________

☐ Autres catégories (à préciser) :
Catégories de Personnes concernées En fonction des situations d’utilisation, les Données à caractère personnel traitées peuvent concerner les catégories de personnes suivantes :
☒ Collaborateurs (salariés, agents…) du Client.

2.2. REGISTRE DES CATEGORIES D’ACTIVITES DE TRAITEMENT

Le Sous-traitant met en place un registre écrit de toutes les catégories d’activités de Traitement effectuées pour le compte du Responsable de traitement comprenant :

  • le nom et les coordonnées du Responsable de traitement pour le compte duquel il agit, de ses éventuels Sous-traitants et, le cas échéant, de leurs délégués à la protection des données ;
  • les catégories de Traitements effectués pour le compte du Responsable de traitement ;
  • le cas échéant, les transferts de Données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49 du RGPD, les documents attestant de l’existence de garanties appropriées ;
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
    • la pseudonymisation et le chiffrement des Données à caractère personnel ;
    • des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
    • des moyens permettant de rétablir la disponibilité des Données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
    • une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

3. CONTACTS EN MATIERE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL

Le Responsable de traitement a désigné un point de contact dans le Bon de commande.
Le Sous-traitant a désigné un Délégué à la protection des données, dont le contact est : privacy.sps@relyens.eu

4. OBLIGATIONS DU RESPONSABLE DE TRAITEMENT VIS-A-VIS DU SOUS-TRAITANT

Le Responsable de traitement s’engage à :

  • fournir au Sous-traitant les données visées à l’article 2.1 de la présente Annexe sauf en cas de collecte directe de ces données par le Sous-traitant ;
  • documenter par écrit toute instruction concernant le Traitement des données à caractère personnel par le Sous-traitant
  • garantir que les opérations de Traitements des Données à caractère personnel effectuées dans le cadre des services par le Sous-traitant sont fondées sur des bases juridiques appropriées ;
  • veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant ;
  • superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant.

5. OBLIGATIONS DU SOUS-TRAITANT VIS-A-VIS DU RESPONSABLE DE TRAITEMENT

5.1. OBLIGATIONS GENERALES

Le Sous-traitant s’engage à :

  • traiter les données caractère personnel pour les seules finalités définies par le Responsable de traitement et conformément aux instructions documentées du Responsable de traitement, sauf si le droit de l’Union ou le droit de l’État membre auquel le Sous-traitant est soumis l’exige ;
  • informer immédiatement le Responsable de traitement s’il considère qu’une instruction constitue une violation de la Législation en matière de protection des données ;
  • garantir la confidentialité et la sécurité des données à caractère personnel traitées pour le compte du Responsable du traitement, et notamment empêcher qu’elles ne soient déformées, endommagées, consultées par ou communiquées à des personnes non autorisées ;
  • veiller à ce que les personnes autorisées à traiter les Données à caractère personnel en vertu du Contrat de base : (i) s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ; (ii) reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
  • prendre en compte s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et par défaut (Data Protection by Design & by Default). Par ailleurs, le Sous-traitant se porte fort, le cas échéant, du respect des exigences du présent article par ses propres sous-traitants.

5.2. OBLIGATIONS RELATIVES AU TRANSFERT DES DONNEES PERSONNELLES

À l’exclusion des Sous-traitants ultérieurs autorisés à l’article 6.1 de la présente Annexe et sauf autorisation expresse du Responsable de traitement, le Sous-traitant s’engage à ne pas procéder à un Transfert des Données à caractère personnel visées à l’article 2.1 de la présente Annexe en dehors de l’Union européenne (UE).
Lorsque le Responsable de traitement autorise un Transfert de Données Personnelles en dehors de l’Union européenne (UE), le Sous-traitant prend les mesures techniques et organisationnelles pour garantir la protection adéquate desdites Données à caractère personnel. Le Sous-traitant s’engage à procéder à de tels Transferts conformément à la Législation en matière de protection des données.
Si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une Organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

5.3 ASSISTANCE AU RESPONSABLE DE TRAITEMENT

Le Sous-traitant s’engage à assister, si besoin, le Responsable de traitement pour la réalisation d’analyses d’impact relatives à la protection des données.
De la même façon, le Sous-traitant aide le Responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle compétente, lorsqu’une analyse d’impact a révélé des risques résiduels pour les droits et libertés des personnes concernées.

6. SOUS-TRAITANCE ULTERIEURE

6.1. AUTORISATION GENERALE DU RECOURS A DES SOUS-TRAITANTS ULTERIEURS

Le Responsable de traitement autorise expressément le Sous-traitant à faire appel aux Sous-traitants ultérieurs suivants pour leur confier l’exécution de tout ou partie des Services objets du Contrat :

Identification du Sous-traitant ultérieur Activités de traitement sous-traitées Localisation du Sous-traitant ultérieur Certifications / Agréments
LE SPHINX DEVELOPPEMENT Outil permettant à Relyens :

  • de concevoir les questionnaires, de les diffuser
  • d’analyser les données en vue de communiquer des résultats sous forme de rapports/indicateurs
    Sphinx assure l’hébergement des données pour les enquêtes dématérialisées.
 Parc Altaïs
27 rue Cassiopée
74650 CHAVANOD

Le Sous-traitant ne pourra faire appel à un Sous-traitant ultérieur non-identifié dans la liste ci-dessus sans en avoir préalablement informé le Responsable de traitement, en lui laissant la possibilité de s’y opposer. À cet effet, il sollicitera par écrit le Responsable de traitement en indiquant les opérations de Traitement qui feront l’objet de l’ajout ou du remplacement d’un Sous-traitant ultérieur, l’identité et les coordonnées de ce dernier et les dates du contrat de sous-traitance envisagé. Le Responsable de traitement disposera d’un délai de quatorze (14) jours ouvrés à compter de la date de réception de la sollicitation pour présenter ses objections éventuelles, sur des motifs raisonnables. En l’absence de réponse ou d’objection à l’issue du délai convenu, l’ajout ou le remplacement du Sous-traitant ultérieur sera considéré comme autorisé. Dans l’hypothèse où le Responsable de traitement émet des objections, le Sous-traitant lui fera des propositions pour y répondre et pouvoir ainsi poursuivre la mise en œuvre des opérations de Traitement concernées.

6.2. OBLIGATIONS DU SOUS-TRAITANT VIS-A-VIS DU SOUS-TRAITANT ULTERIEUR

Le Sous-traitant s’engage à conclure un acte juridique avec tout Sous-traitant ultérieur et à imposer les mêmes obligations que celles applicables au Sous-traitant vis-à-vis du Responsable de traitement au titre de la présente Annexe. Il appartient au Sous-traitant de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences de la Législation en matière de protection des données. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant demeure pleinement responsable devant le Responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
Si un Sous-traitant ultérieur visé à l’article 6.1 de la présente Annexe est établi dans un pays situé en dehors de l’Union européenne (UE) qui ne fait pas l’objet d’une Décision d’adéquation, le Sous-traitant doit conclure un contrat avec ce Sous-traitant ultérieur prévoyant que les Données à caractère personnel seront traitées de manière appropriée conformément à la Législation en matière de données personnelles.

7. DROITS DES PERSONNES CONCERNEES

7.1. DROIT D’INFORMATION DES PERSONNES CONCERNEES

De manière générale, il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement visées à l’article 2.1 de la présente Annexe au moment de la collecte des données.
Toutefois et lorsque l’exécution du Contrat de base nécessite une collecte de données par le Sous-traitant, le Responsable de traitement s’engage à documenter par écrit les instructions relatives à cette collecte, en précisant la formulation et le format de l’information à délivrer aux personnes concernées en vertu des articles 13 et 14 du RGPD.

7.2. EXERCICE DES DROITS DES PERSONNES CONCERNEES

Dans la mesure du possible et si nécessaire, le Sous-traitant doit apporter au Responsable de traitement toute l’assistance pour l’aider à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement, d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage) et droit de définir des directives relatives au sort des données post-mortem.
Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits s’agissant des Données à caractère personnel faisant l’objet de la sous-traitance prévue par la présente Annexe (cocher la mention utile) :
☒ le Sous-traitant doit adresser sans délai ces demandes par courrier électronique au Responsable de traitement, aux coordonnées indiquées à l’article 3 de la présente Annexe ;
☐ le Sous-traitant notifie le Responsable de traitement de ces demandes par courrier électronique, aux coordonnées indiquées à l’article 3 de la présente Annexe, qui en retour fournit les instructions permettant au Sous-traitant de répondre aux personnes concernées dans les délais prévus par le RGPD, au nom et pour le compte du Responsable de traitement

8. SECURITE DES DONNEES

8.1. ENGAGEMENTS DE SECURITE

Le Sous-traitant s’engage à protéger les Données à caractère personnel conformément aux exigences issues de la Législation en matière de protection des données, et particulièrement de l’article 32 du RGPD, notamment en mettant en place des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque et à les protéger contre toute Violation de Données à caractère personnel.
Les mesures de sécurité mises en place par le Sous-traitant doivent, dans tous les cas, tenir compte de l’état de l’art technologique et être conformes aux standards de sécurité en vigueur.

8.2 ASSISTANCE EN MATIERE DE SECURITE

Afin d’assister le Responsable de traitement dans ses obligations pour assurer le respect des exigences de sécurité de l’article 32 du RGPD, le Sous-traitant met à disposition du Responsable de traitement toute documentation utile décrivant les mesures techniques et organisationnelles prises pour sécuriser les Traitements des Données à caractère personnel visés à l’article 2.1 de la présente Annexe.

8.3 MESURES DE SECURITE

En particulier, le Sous-traitant s’engage à mettre en œuvre les mesures techniques et organisationnelles suivantes :

  • l’application d’une politique de sécurité des systèmes d’information ;
  • la présence d’un responsable de la sécurité des systèmes d’information, qui travaille en collaboration avec le Délégué à la protection des données ;
  • la sécurisation physique des locaux et installations à travers des systèmes de contrôle et de traçabilité des accès ;
  • une sensibilisation régulière de l’ensemble des personnels à la sécurité des systèmes d’information ;
  • un processus de gestion des droits et des habilitations des utilisateurs du système d’information en fonction de leurs besoins et attributions;
  • une politique en matière de mots de passe exigeante en termes de robustesse et de durée de vie ;
  • une procédure concernant les mises à jour des applications et systèmes d’informations impliqués dans le traitement des Données à caractère personnel afin que les correctifs systèmes et applicatifs soit appliqués dans les meilleurs délais, en fonction du risque associé ;
  • l’utilisation et la mise à jour des solutions antivirus sur les postes de travail stockant les Données à caractère personnel ;
  • une séparation physique et/ou logique des Données à caractère personnel des différents clients ;
  • la réalisation régulière d’audits de sécurité et de tests de vulnérabilité ;
  • un plan de reprise d’activité destiné à assurer le maintien des services en cas d’indisponibilité du système d’information, faisant l’objet d’un exercice annuel.

9. NOTIFICATION DES VIOLATIONS DE DONNEES A CARACTERE PERSONNEL

Le Sous-traitant s’engage à notifier au Responsable de traitement toute Violation de données à caractère personnel dans un délai maximum de quarante-huit (48) heures après en avoir pris connaissance, en contactant le Responsable de traitement aux coordonnées indiquées à l’article 4 de la présente Annexe. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente, et contient notamment les informations suivantes :

  • la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de Personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • la description des conséquences probables de la violation de données à caractère personnel ;
  • la description des mesures prises ou que le Sous-traitant propose de prendre pour remédier à la Violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

10. REVERSIBILITE DES DONNEES

Au terme du Contrat, le Sous-traitant devra, au choix du Responsable du traitement, effacer toutes les Données à caractère personnel ou les retourner au Responsable du traitement, et effacer toutes les copies existantes à moins que le Sous-traitant soit tenu de conserver ces Données à caractère personnel en vertu du droit applicable. Les modalités de mise en œuvre seront précisées par les Parties d’un commun accord.

11. DOCUMENTATION

Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le Responsable de traitement ou un autre auditeur qu’il aura mandaté, et apporte sa contribution à la réalisation de ces audits.

12. AUDIT

Pendant toute la durée du Contrat de base, le Responsable de traitement pourra réaliser lui-même ou par l’intermédiaire d’un tiers indépendant à ses frais – sous réserve d’un préavis de trente (30) jours calendaires et au maximum une fois par année civile sauf en cas de manquement avéré du Sous-traitant aux obligations contractuelles et règlementaires – des audits de tout ou partie des prestations, y compris auprès des Sous-traitants ultérieurs listés à l’article 6.1 de la présente Annexe, afin de s’assurer du respect des dispositions de la présente Annexe. Le Responsable de traitement transmettra au Sous-traitant les résultats de ces audits, sous forme écrite.
L’audit se déroulera pendant les horaires de fonctionnement du Sous-traitant et de manière à ne pas perturber ses activités de manière significative. En cas d’audit réalisé par un tiers mandaté par le Responsable de traitement, ledit tiers auditeur sera tenu au respect d’une obligation de confidentialité au moins aussi contraignante que celle prévue entre les Parties dans le Contrat de base. Le Responsable de traitement se porte-fort du respect par le tiers auditeur de la confidentialité la plus stricte des données et informations auxquelles il aura accès.
Au terme de l’audit, en cas de non-conformité(s) constatée(s), le Sous-traitant s’engage à mettre en place dans un délai de quinze (15) jours calendaires un plan d’action afin d’y remédier. Ce plan d’action devra notamment détailler pour chaque mesure corrective le responsable de l’action et les délais de mise en œuvre associés. Ce plan d’action devra faire l’objet d’une validation écrite par le Responsable de traitement préalablement à sa mise en œuvre.

13. RESPONSABILITE

Le Responsable de traitement et le Sous-traitant s’engagent à respecter leurs obligations respectives, telles qu’énoncées dans la présente Annexe ou prévues par la Législation en matière de protection des données. Chaque Partie sera responsable vis-à-vis de l’autre Partie de tout manquement à ses obligations en lien avec les opérations de Traitement visées à l’article 3.1 de la présente Annexe.
Le Sous-traitant ne peut être tenu responsable des dommages causés par un Traitement effectué pour le compte du Responsable de traitement qu’en cas de non-respect des obligations qui lui incombent spécifiquement ou s’il a agi en dehors des instructions documentées et conformes du Responsable de traitement ou contrairement à celles-ci. Dans de tels cas, les dispositions du Contrat de base relatives à la responsabilité s’appliquent.

14. PRISE D’EFFET DE LA PRESENTE ANNEXE

Les stipulations de la présente Annexe prennent effet à compter de l’entrée en vigueur du Contrat pour la durée du Contrat.