Article 1 : description des traitements
UBIPLACE sera amené à traiter des données à caractère personnel (ci-après les « DCP ») dans le cadre des traitements dans la Sous-Annexe « Description des traitements ». Le Client, Responsable de traitement, pourra modifier à tout moment la description de ces traitements et en notifiera immédiatement UBIPLACE.
Article 2. Obligations du Client vis-à-vis du Sous-traitant
Le Client, en tant que Responsable de traitement, s’engage à respecter la Législation relative à la protection des données personnelles, et notamment à :
- s’assurer que les traitements et leurs finalités sont conformes au RGPD;
- fournir à UBIPLACE la description du traitement ainsi que toutes DCP et informations permettant à UBIPLACE d’exécuter ses obligations aux termes de la présente et conformément au RGPD;
- documenter par écrit toute instruction concernant le traitement des DCP par UBIPLACE, et ;
- fournir à UBIPLACE toute notice d’information ou autre document d’information à destination des personnes physiques concernées par les Services visés dans le Contrat et dont UBIPLACE est amené à traiter les DCP.
Article 3. Obligations du Sous-traitant
UBIPLACE s’engage à prendre toutes les mesures nécessaires au respect par elle-même, son personnel de ses obligations et ses sous-traitants le cas échéant et notamment à :
- traiter les DCP uniquement pour l’exécution des Services qu’il effectue pour le Client au titre du Contrat ;
- traiter les DCP conformément aux instructions documentées et des autorisations reçues du Client y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins que le Sous-traitant ne soit tenu d’y procéder en vertu d’une disposition impérative résultant du droit communautaire ou du droit de l’Etat membre auquel elle est soumise; dans ce cas, le Sous-traitant informera le Client de cette obligation juridique avant le traitement des données, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
- informer, dans les meilleurs délais, le Client si, selon lui, une instruction constitue une infraction à la réglementation.
Si une instruction a pour objet ou effet de créer ou modifier une finalité prévue dans la Sous-Annexe « Description des traitements », UBIPLACE s’engage à le notifier immédiatement au Client afin que pour les Parties puissent formaliser par avenant l’actualisation de ladite Sous-Annexe dans les meilleurs délais.
UBIPLACE reconnaît et accepte qu’il ne peut agir en matière de traitement des DCP et des fichiers auxquels il peut avoir accès que conformément aux présentes. En outre, il s’interdit :
- d’utiliser les DCP à d’autres fins que celles définies dans les présentes et le Contrat;
- la consultation et le traitement de DCP autres que celles concernées par les présentes et ce, même si l’accès à ces DCP est techniquement possible ;
- de céder ou louer les DCP à un tiers, à titre gratuit ou non ;
- d’insérer dans les fichiers des DCP qui ne lui ont pas été confiées par le Client ;
UBIPLACE s’engage à ce que toutes les personnes autorisées à traiter les Données aient bien reçu la formation nécessaire en matière de protection des DCP. UBIPLACE se porte garant du respect de ses obligations par tous ses personnels, assimilés et sous-traitants ultérieurs et est responsable de toutes les conséquences dommageables qui pourraient, même indirectement, résulter de l’inobservation par l’un d’entre eux de celles-ci.
Article 4. Traitement des données sensibles ou à caractère particulier.
Dans le cas où le traitement porte sur des DCP révélant l’origine prétendument raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, ou des données relatives aux condamnations pénales et aux infractions (« données sensibles ») ou toute autre type de données pour lesquelles la Législation relative à la protection des données déterminent des requis exigences spécifiques à leur traitement, UBIPLACE s’engage à conseiller le Client pour définir des mesures techniques ou organisationnelles spécifiques, ou des garanties supplémentaires, qu’il s’engage à mettre en œuvre.
Article 5. Garantie
Le Client garantit à UBIPLACE le respect des obligations légales et règlementaires lui incombant et le respect de ses obligations au titre de la présente Annexe.
Article 6. Data Protection Officer
6.1. DPO du Client
Le DPO désigné par le Client : Jean-Paul Chavant, Délégué à la protection des données, DPO.EGIS@EGIS.FR
6.2. DPO du Sous-traitant
Le DPO désigné par UBIPLACE:
REMI MEJIAS
32 rue de l’hôtel des postes
06000 NICE
Article 7. Sécurité
En tant que Sous-traitant, UBIPLACE s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les DCP contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de DCP dans un réseau, ainsi que contre toute forme de traitement illicite, étant précisé que ces mesures doivent assurer un niveau de sécurité adapté au risque, compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du niveau de gravité et de probabilité d’occurrence du risque pour les droits et libertés des personnes concernées.
UBIPLACE fournit au Client le détail des mesures techniques et organisationnelles ainsi déployées dans la Sous-Annexe « Mesures de sécurité techniques et organisationnelles ».
UBIPLACE veille à ce que les personnes autorisées à traiter les DCP s’engagent à respecter la confidentialité des Données ou soient soumises à une obligation légale appropriée de confidentialité.
Article 8. Tenue du registre
UBIPLACE s’engage à tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client, conformément aux dispositions du RGPD et en donnera accès au Client sur demande écrite de ce dernier adressée par lettre recommandée avec AR.
Article 9. Localisation des Données
UBIPLACE confirme qu’aucune donnée personnelle ne sera hébergée hors du territoire français ou de l’Union européenne et qu’à ce titre il est conscient que, dans le cas ou tout ou partie des Données devaient être malgré tout stockées sur des serveurs localises dans des pays hors du territoire de l’union européenne ; ces pays doivent offrirent un niveau de protection suffisant et adéquat.
UBIPLACE s’engage à communiquer à première demande au Client la liste de tous les lieux d’hébergement et de traitement des données du Client (site d’hébergement principal, site(s) de secours, sites de traitements, de supports, lieux de stockage des sauvegardes, etc.). UBIPLACE doit tenir à jour cette liste, la transmettre au Client dès la signature du Contrat puis lors de chaque mise à jour.
Article 10. Conformité dès la conception.
UBIPLACE s’engage à prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut. A cette fin il s’engage notamment à ce que ceux-ci soient nativement conçus ou paramétrables pour pouvoir répondre à l’exercice des droits des personnes à l’aide des fonctionnalités adaptées, pour limiter les données traitées conformément aux finalités poursuivies, pour permettre une ségrégation des utilisateurs en fonction de leur besoin d’accéder aux données, pour assurer une traçabilité des accès aux données ou pour déterminer les durées de conservation des données et assurer leur mise en œuvre.
Article 11. Archivage.
Le Prestataire s’engage à ne conserver de données à caractère personnel que pour les stricts besoins des Services et, en dehors des cas dans lesquels il existe une obligation d’archivage, s’engage à supprimer dans les plus brefs délais les données à caractère personnel qui ne sont plus nécessaires. Les données archivées devront être supprimées dans les plus brefs délais lorsque le motif justifiant leur archivage n’a plus raison d’être.
Lorsqu’il existe une obligation d’archivage, que celle-ci découle d’une obligation légale ou règlementaire, d’un engagement contractuel spécifique ou d’une mesure destinée à répondre des obligations de résilience du système d’information du Prestataire, les données à caractère personnel sont archivées dans une base d’archive spécifique, distincte de la base active, avec des accès restreints aux seules personnes ayant un intérêt à en connaitre en raison de leurs fonctions ou dans la base active, à condition de procéder à un isolement des données archivées au moyen d’une séparation logique pour les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter.
Article 12. Flux transfrontalier des Données
Les transferts de Données en-dehors de l’Espace Économique Européen sont autorisés par le Client sous réserve du respect des stipulations qui suivent :
- tout transfert dans un pays autre qu’un pays de l’Union Européenne ou un pays reconnu par l’Union Européenne comme étant adéquat en matière de protection des Données à caractère personnel, devra (i) faire l’objet de la signature préalable de clauses contractuelles types selon le modèle arrêté par la Commission Européenne sur la base de l’article 46 § 2 du RGPD (la dernière version par la Commission Européenne est issue de la décision d’exécution (UE) 2021/914 datée du 4 juin 2021), ou tout autre mécanisme reconnu équivalent et (ii) être effectué uniquement sur la base d’instructions documentées du Client. Si cela était requis de la part du Prestataire, au regard des textes applicables, UBIPLACE s’engage à procéder à l’évaluation définie par l’étape 3 des recommandations 01/2020 adoptées le 18 juin 2021 par le Comité Européen de la Protection des Données, concernant les mesures qui complètent les outils de transfert pour assurer le respect du niveau de protection des données à caractère personnel de l’UE. En toute hypothèse, le Client reconnait qu’en tant que Responsable de traitement des Données dont le traitement est confié au Sous-traitant au titre du Contrat, le Client reste responsable de la bonne information des Personnes Concernées, en application de l’article 13 du RGPD.
Article 13. Sous-traitance ultérieure
Le Client autorise expressément UBIPLACE agissant en tant que Sous-traitant à faire appel aux sous-traitants de second rang et plus utilisés par UBIPLACE dans le cadre de l’exécution des services et prestations visés par le Contrat, tels que listés en Sous-Annexe « Liste des Sous-traitants en matière de DCP ».
Dans ce cadre, UBIPLACE s’engage à :
- informer et signer un contrat écrit avec le Sous-traitant de second rang, imposant les mêmes obligations en matière de protection des Données que celles fixées dans la présente annexe et au Contrat ;
- mettre à la charge de son Sous-traitant toutes obligations nécessaires pour que soient respectées la confidentialité, la sécurité et l’intégrité des données, et pour que lesdites données ne puissent être ni cédées ou louées à un tiers à titre gratuit ou non, ni utilisées à d’autres fins que celles définies dans les présentes
- tenir à la disposition du Client une liste du ou des Sous-traitants impliqués dans le traitement de Données.
Conformément à l’article 28 (2) du RGPD, la désignation ou le replacement de tout Sous- traitant de second rang par UBIPLACE autre que ceux listés dans la Sous-Annexe donnera lieu à un accord préalable écrit du Client par UBIPLACE dans les meilleurs délais. UBIPLACE soumet la demande d’autorisation spécifique au moins 1 mois avant le recrutement du sous-traitant ultérieur en question, ainsi que les informations nécessaires pour permettre au responsable du traitement de prendre une décision au sujet de l’autorisation. Les parties tiennent à jour la liste des sous-traitants ultérieurs autorisés par le Client.
À la demande du responsable du traitement, UBIPLACE lui fournit une copie de ce contrat conclu avec le sous-traitant ultérieur et de toute modification qui y est apportée ultérieurement. Dans la mesure nécessaire à la protection des secrets d’affaires ou d’autres informations confidentielles, y compris les données à caractère personnel, le sous-traitant peut expurger le texte du contrat avant d’en diffuser une copie.
UBIPLACE en tant que Sous-traitant vis-à-vis du Client demeure en tout état de cause pleinement responsable de l’exécution, par ces Sous-traitants de second rang, des obligations leur incombant.
Les données traitées en exécution du Contrat ne pourront faire l’objet d’aucune divulgation à des tiers, et ce y compris aux Sous-traitants d’UBIPLACE, en dehors des cas prévus dans la présente Annexe et dans le Contrat ou de ceux prévus par une disposition légale ou réglementaire.
Article 14. Coopération et audit
UBIPLACE s’engage à coopérer avec le Client afin de respecter les obligations pesant sur celui-ci au regard de la réglementation sur les données personnelles ; notamment pour la réalisation d’analyses d’impact que celui-ci déciderait d’effectuer, et la consultation de l’autorité de contrôle.
UBIPLACE devra notifier immédiatement au Client toute modification ou changement pouvant impacter le traitement des DCP.
A la demande du Client, UBIPLACE devra établir une attestation ou transmettre toute information nécessaire pour démontrer que les règles prévues par la présente Annexe ont bien été respectées
Le Client se réserve le droit de procéder à toutes vérifications qui lui paraissent utiles pour constater et/ou analyser le respect par le Sous-traitant de ses obligations précitées, et notamment en procédant à un audit de sécurité organisationnel, fonctionnel, documentaire et technique.
Ces vérifications doivent permettre notamment de s’assurer que les mesures de protection des DCP mises en place ne peuvent être contournées sans que cela ne soit détecté et notifié, et que le Sous-traitant contribue à la conformité règlementaire du Client.
Le Client est tenu d’informer UBIPLACE de son intention de réaliser l’audit dans un délai de trente (30) jours calendaires avant que n’ait lieu l’audit. Le Client s’engage à ce qu’
- aucun dommage de quelque nature que ce soit (aux biens et aux personnes),
- aucune perturbation, aucune discontinuité, des activités de UBIPLACE n’ait lieu au cours de l’audit.
Le Client est tenu de s’assurer que les personnes réalisant l’audit ou ayant accès aux informations relatives à cet audit soient soumises à une obligation de confidentialité relativement à cet audit
UBIPLACE n’est pas tenu de donner accès à ses locaux, systèmes ou équipements aux fins de réaliser l’audit ou l’inspection :
- à tout individu ne produisant pas une preuve de son identité et de son titre l’habilitant à participer à l’audit ou l’inspection ;
- en dehors des heures régulières de travail au sein de ses locaux ;
- pour permettre la réalisation de plus de un (1) audit en une année calendaire.
UBIPLACE s’engage à répondre aux demandes d’audit du Client effectuées par lui-même ou par un tiers de confiance qu’il aura sélectionné, reconnu en tant qu’auditeur indépendant ayant une qualification adéquate, et libre de fournir les détails de ses remarques et conclusion d’audit au Client.
Dans l’hypothèse où le Client mandaterait un auditeur pour les besoins du présent article, ledit Client se porte fort du respect des dispositions de cet article par cet auditeur.
UBIPLACE mettra en place les moyens raisonnables pour permettre aux personnes mandatées par le Client de mener à bien les audits dans de bonnes conditions.
Il fournira les documents ou informations nécessaires à cet audit. Néanmoins, les dispositions du présent article ne requièrent pas qu’UBIPLACE divulgue au Client et/ou à ses auditeurs, des informations de toute nature précédemment divulguées ou autrement gardées confidentielles par UBIPLACE pour son propre compte, celui de l’un quelconque de ses partenaires commerciaux ou d’une autre personne à quelque titre que ce soit (les « Informations Protégées »). Par conséquent, UBIPLACE peut, à sa seule discrétion, refuser l’accès au Client et/ou ses auditeurs à tout système d’information (y compris aux bases de données et aux serveurs) et à tout dossier, document, donnée ou autres informations relatives aux Informations Protégées. UBIPLACE notifie au Client, par écrit, les raisons et la portée de ce refus.
Les frais et coûts occasionnés par l’audit seront à la charge exclusive du Client.
Article 15. Modalité d’exercice des droits des personnes
UBIPLACE s’engage à coopérer avec le Client afin de permettre la gestion des demandes des personnes concernées tendant à l’exercice de leurs droits, notamment :
- droit d’accès,
- droit de rectification,
- droit de suppression, d’opposition,
- droit de limitation,
- droit de portabilité
- droit de ne pas faire l’objet d’une décision individuelle automatisée.
Si une personne concernée exerce directement ses droits auprès du Sous-traitant, celui-ci communiquera au Client les demandes qui lui seront parvenues dans les meilleurs délais, sans dépasser quarante-huit (48) heures maximum. Le Sous-traitant ne pourra répondre à la demande d’une personne concernée que sur instruction du Client. Toutefois, lorsque la demande est circonscrite aux données traitées par UBIPLACE en vertu des présentes, UBIPLACE s’engage à répondre, au nom et pour le compte du Client conformément à la formulation et au format arrêtés avec le Client et dans un délai maximal de 30 (trente) jours calendaires à compter de la réception de la demande de la personne concernée. Si la demande est plus large ou si les modalités de réponses ne sont pas encore déterminées par le Client, UBIPLACE adresse la personne vers le point de contact du Client identifié aux présentes.
UBIPLACE tient, et remet au Client à sa demande, un état trimestriel des demandes d’exercice de droits qu’il a reçues et traitées sur la période, qui décrit notamment la nature des droits exercés et le délai de réponse.
Article 16. Violation de Données
UBIPLACE notifiera au Client, dans les meilleurs délais, sans dépasser quarante-huit (48) heures après en avoir eu connaissance toute violation de DCP ou toute violation de la sécurité, accidentelle ou illicite, incluant notamment leur destruction, leur perte, leur altération, leur divulgation non autorisée ou leur accès traitement non autorisé.
Cette notification doit être envoyée au Délégué à la protection des données du Client, par courrier électronique.
Lors d’une violation de données, UBIPLACE s’engage à procéder à toutes investigations utiles sur les manquements aux règles de protection afin d’y remédier dès que possible et de diminuer leur impact sur les personnes concernées.
Il revient uniquement au Client, de notifier cette violation de données à l’autorité de contrôle compétente ainsi que, le cas échéant, à la personne concernée.
Article 17. Contrôle
En cas de contrôle d’une autorité compétente, le Client et le Sous-traitant s’engagent à coopérer entre elles notamment par la fourniture de toutes informations qui pourraient s’avérer nécessaire, et avec l’autorité de contrôle.
Dans le cas où le contrôle mené chez UBIPLACE concernerait les traitements mis en œuvre au nom et pour le compte du Client, le Sous-traitant s’engage à en informer immédiatement le Client et à ne prendre aucun engagement pour lui.
Article 18. Sort des Données
A l’issue du Contrat pour quelque cause que ce soit, UBIPLACE s’engage à supprimer toutes les DCP ou à renvoyer toutes les DCP au Client et à détruire toutes les copies existantes à moins qu’une obligation légale ou règlementaire applicable n’exige la conservation des DCP.
UBIPLACE s’engage à fournir au Client, à première demande écrite, un justificatif de suppression des DCP.