Accord de traitement des données d’InVision Software SAS
Date : Juillet 2020
§1 Définitions
1. « Accord » désigne l’accord entre le Client et InVision Software SAS (« Prestataire ») qui fait référence au présent Accord de traitement des données (« ATD »).
2. « Législation en vigueur sur la protection des données » désigne la législation protégeant le droit à la vie privée concernant le Traitement des données à caractère personnel (par ex. le RGPD).
3. « Client » désigne le Client qui détermine les finalités et les moyens du Traitement des Données à caractère personnel.
4. « RGPD » désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).
5. « Données à caractère personnel » a le sens donné à cette expression à l’article 4 (1) du RGPD et, aux fins du présent ATD, inclut uniquement les Données à caractère personnel du Client traitées par le Prestataire en tant que Sous-traitant du Client.
6. « Violation des Données à caractère personnel » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux Données à caractère personnel Traitées aux termes du présent ATD.
7. « Sous-traitant » désigne une personne physique ou morale qui traite des Données à caractère personnel pour le compte d’un Client.
8. « Traitement » a le sens donné à cette expression à l’article 4 (2) du RGPD.
9. « Service » désigne les services fournis en vertu de l’Accord qui impliquent le Traitement des Données à caractère personnel par le Prestataire agissant en tant que Sous-traitant du Client. Les Services sont spécifiés dans l’annexe 1.
10. « Sous-traitant ultérieur » désigne tout autre Sous-traitant engagé par le Prestataire dans l’exécution des Services fournis aux termes du présent ATD. Le Sous-traitant ultérieur désigne uniquement un sous-traitant ayant accès aux Données à caractère personnel.
§2 Objet et champ d’application
1. Le présent ATD fait office d’accord écrit pour le traitement des données entre le Client et le Prestataire et s’applique aux services fournis en vertu de l’Accord qui impliquent le Traitement des Données à caractère personnel par le Prestataire agissant en sa qualité de Sous-traitant pour le Client.
2. Il définit les droits et obligations liés à la protection des données du Client et du Prestataire concernant les Services couverts par le présent ATD ; tous les autres droits et obligations seront exclusivement régis par les autres parties de l’Accord.
3. Le Prestataire ne traitera les Données à caractère personnel que conformément aux conditions de l’Accord (y compris les conditions du présent ATD).
4. En fournissant les Services, le Prestataire respectera toutes les lois et réglementations en matière de protection des données applicables aux Sous-traitants. Le Client sera responsable du respect des lois et réglementations applicables au Client.
5. En cas d’incohérences entre les dispositions du présent ATD et les autres dispositions de l’Accord, les dispositions du présent ATD prévalent au regard des obligations des parties en matière de protection des données. En cas de doute pour savoir si les clauses de ces autres accords se rapportent aux obligations des parties en matière de protection des données, le présent ATD prévaut.
§3 Détails des opérations de Traitement
1. Les détails des opérations de Traitement menées par le Prestataire – en particulier les types de Données à caractère personnel traitées et les catégories de personnes concernées – sont spécifiés à l’Annexe 1 du présent ATD.
2. Les données à caractère personnel sont traitées exclusivement au sein de l’UE ou dans un autre État contractant du traité de l’Espace économique européen ou en Suisse, qui est couverte par une décision d’adéquation de la Commission européenne (cf. art. 45(9) du RGPD). Tout transfert vers un pays tiers (Article 44 du RGPD) est soumis au consentement préalable du Client et ne peut avoir lieu que si les conditions fixées à l’Article 44 et suivants du RGPD sont remplies.
§4 Droits à l’instruction
1. Le Prestataire, en tant que Sous-traitant, n’agira que sur instruction du Client. Les parties conviennent que l’Accord et le présent ATD constituent les instructions complètes et finales du Client pour le Traitement des Données à caractère personnel.
2. Le Prestataire doit faire des efforts commerciaux raisonnables pour suivre et se conformer aux autres instructions reçues du Client tant qu’elles sont techniquement réalisables et ne nécessitent aucune modification matérielle des Services (ou des logiciels sous-jacents). D’autres instructions doivent être convenues par écrit entre le Prestataire et le Client et peuvent faire l’objet de coûts supplémentaires. Le Prestataire s’engage à notifier sans délai le Client si, selon lui, une instruction s’inscrit en violation de la Législation en vigueur sur la protection des données.
3. Si des instructions supplémentaires sont requises en raison de la Législation en vigueur sur la protection des données et si le Prestataire et le Client ne parviennent pas à trouver un accord conformément au §4.2 ci-dessus, le Client aura le droit de résilier l’Accord.
§5 Mesures techniques et organisationnelles
1. Le Prestataire met en œuvre les mesures techniques et organisationnelles décrites à l’Annexe 2. Le Client confirme par la présente que le niveau de sécurité fourni est approprié au risque inhérent au Traitement par le Prestataire pour le compte du Client.
2. Le Client comprend et convient que les mesures techniques et organisationnelles sont soumises au progrès technique et au développement. À cet égard, le Prestataire a le droit de mettre en œuvre des mesures alternatives adéquates tant que le niveau de sécurité des mesures est maintenu.
§6 Respect de la confidentialité des données
1. Le Prestataire oblige tout personnel engagé dans la fourniture des Services à respecter la confidentialité des Données à caractère personnel.
§7 Sous-traitants ultérieurs
1. Le Prestataire ne peut engager des Sous-traitants ultérieurs qu’avec l’approbation préalable du Client, qui ne sera pas refusée sans motif raisonnable. Le Client approuve par la présente l’engagement des Sous-traitants ultérieurs listés sur le site Web du Prestataire Lien. Le Prestataire conclut un contrat avec chaque Sous-traitant ultérieur imposant au Sous-traitant ultérieur des obligations contractuelles appropriées qui ne sont pas moins protectrices que le présent ATD et remet une copie du contrat respectif sur demande écrite du Client, à moins que le contrat ne contienne des informations commerciales ou autrement confidentielles, auquel cas le Prestataire peut supprimer ces informations commerciales ou autrement confidentielles.
2. Le Prestataire est autorisé à supprimer ou ajouter de nouveaux Sous-traitants ultérieurs. Les nouveaux Sous-traitants ultérieurs sont approuvés par le Client conformément au processus suivant :
2.1. Le Prestataire informe le Client avec un préavis d’au moins dix (10) jours avant d’autoriser tout nouveau Sous-traitant ultérieur à accéder aux Données à caractère personnel du Client.
2.2. Si le Client ne soulève aucune objection raisonnable auprès du Prestataire par écrit dans ce délai de dix (10) jours, cela sera considéré comme une approbation du nouveau Sous-traitant ultérieur, à condition que le Prestataire ait informé le Client de cette conséquence dans la notification.
2.3. Si le Client soulève des objections vis-à-vis du Prestataire, le Prestataire a le droit de résilier l’Accord avec un préavis de dix (10) jours à moins que le Prestataire ne choisisse, à sa seule discrétion, (a) de poursuivre le Service sans l’engagement du Sous-traitant ultérieur auquel le Client s’est opposé, (b) de prendre des mesures suffisantes pour répondre aux préoccupations soulevées dans l’objection du Client ou (c) en accord avec le Client, de cesser de fournir l’aspect particulier du Service qui impliquerait l’utilisation du Sous-traitant ultérieur.
3. Si le Sous-traitant ultérieur ne remplit pas ses obligations, le Prestataire reste pleinement responsable envers le Client de l’exécution des obligations du Sous-traitant ultérieur.
§8 Contact pour la confidentialité des données
1. Les deux parties s’informent mutuellement du nom et des coordonnées du contact pour la confidentialité des données en complétant ces informations à l’Annexe 1.
2. Sauf accord contraire explicite, toutes les informations et notifications requises en vertu du présent ATD sont envoyées par écrit (un e-mail suffit) par le Prestataire au contact du Client.
§9 Rectification, suppression et limitation du Traitement
1. Le Prestataire rectifie, supprime ou limite le Traitement des Données à caractère personnel conformément aux instructions du Client.
§10 Obligations de notification et assistance du Prestataire
1. En cas de Violation des Données à caractère personnel, le Prestataire en informe le Client sans retard injustifié (au plus tard 48 heures après en avoir pris connaissance). Le Prestataire (i) coopère raisonnablement avec le Client dans le cadre de l’enquête sur cette Violation des Données à caractère personnel, (ii) apporte une assistance raisonnable au Client dans le cadre de ses obligations de notification des violations de sécurité en vertu de la Législation applicable à la protection des données (le cas échéant) et (iii) met en œuvre des mesures correctives respectives et raisonnables.
2. Le Prestataire notifie sans retard injustifié au Client (i) les plaintes ou demandes des personnes concernées dont les Données à caractère personnel sont traitées en vertu du présent ATD (par ex., concernant la rectification, la suppression et les restrictions du Traitement des Données à caractère personnel) ou (ii) les ordonnances ou demandes d’une autorité de contrôle ou d’un tribunal compétent.
3. À la demande du Client, le Prestataire aide raisonnablement le Client à
3.1. traiter les plaintes, demandes ou ordonnances décrites au § 10.2 ; et
3.2. remplir ses obligations en vertu de la Législation applicable à la protection des données.
Cette assistance est à la charge du Client et facturée sur la base du temps passé et du matériel fourni, sauf si le Prestataire est coupable.
§11 Audits
1. Le Client a le droit de vérifier, par des moyens appropriés conformément aux § 11.2 et 11.3 ci-dessous, le respect par le Prestataire et les Sous-traitants ultérieurs des obligations en matière de protection des données dans le présent Accord de traitement des données (en particulier en ce qui concerne les mesures techniques et organisationnelles), annuellement et en cas d’événement particulier ; cette vérification étant limitée aux informations sur les systèmes de traitement des données qui sont pertinentes pour la fourniture des Services.
2. Le Prestataire et les Sous-traitants ultérieurs peuvent conserver des certifications ou des rapports d’audit reprenant les Services de traitement. Le Client accepte que ces certifications et rapports d’audit soient utilisés pour traiter les droits d’audit du Client en vertu du présent ATD. À la demande du Client, le Prestataire fournit (i) des extraits pertinents des rapports d’audit et (ii) des informations et de la documentation concernant les certifications applicables disponibles pour les Services concernés. Les rapports d’audit, les informations et la documentation fournis constituent des informations confidentielles du Prestataire.
3. Uniquement dans le cas où les certifications et rapports d’audit fournis ne suffisent pas au Client pour se conformer aux exigences et obligations d’audit applicables en vertu de la Législation applicable sur la protection des données, le Client peut à ses frais (i) demander des informations et de la documentation supplémentaires ou (ii) après un préavis raisonnable, réaliser un audit supplémentaire de l’environnement de contrôle et des pratiques de sécurité du Prestataire concernant les Données à caractère personnel traitées en vertu du présent Accord de traitement des données sans perturber les opérations commerciales du Prestataire et conformément aux politiques de sécurité du Prestataire et à la Législation applicable sur la protection des données.
§12 Durée et résiliation
1. Le présent ATD aura la même durée que l’Accord. À la résiliation de l’ATD, sauf accord contraire entre les Parties, le Prestataire efface, dans le délai indiqué dans l’Accord, toutes les Données à caractère personnel mises à la disposition du Prestataire ou obtenues ou générées par le Prestataire pour le compte du Client dans le cadre des Services. La suppression sera confirmée par le Prestataire par écrit sur demande.
ANNEXE 1 : Détails des opérations de traitement et contacts pour la confidentialité des données
1. Opérations de traitement
Personnes concernées :
Salariés et indépendants du client
Données personnelles :
Données utilisées dans le processus de planification des équipes de travail, c.-à-d. nom de l’employé, compétences, coordonnées (par ex. téléphone, e-mail), statut de formation et autres
Catégories spéciales de données personnelles :
-/-
Finalité du traitement :
Tel que défini plus en détail dans l’Accord. Comprend des services en ligne pour la gestion des effectifs et/ou les formations en ligne.
Durée :
Équivalent à l’Accord
2. Contacts
Contact du Prestataire :
- Frank Trautmann, Délégué à la protection des données
- E-mail : privacy@invision.de
Contact du Client :
- Nom, titre :
- E-mail :
ANNEXE 2 : Mesures techniques et organisationnelles conformément à l’article 32 du RGPD
Cette section décrit les mesures techniques et organisationnelles de protection des Données à caractère personnel (« Mesures ») que le Prestataire prend au minimum dans le cadre du traitement effectué par le Prestataire, en tenant compte de l’état de la technologie, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques.
Si d’autres mesures ou des mesures spéciales sont convenues dans l’Accord, ces mesures spéciales s’appliquent à la place ou en plus des mesures décrites dans le présent document.
I. Mesures de base
Les Mesures de base assurent la protection de la confidentialité et de l’intégrité des systèmes avec lesquels le Prestataire traite des données à caractère personnel, notamment par un accès à distance. Ces Mesures s’appliquent à tous les traitements effectués par le Prestataire, sauf accord contraire dans le contrat sous-jacent.
1. Organisation interne des opérations
Le Prestataire a désigné un délégué à la protection des données de l’entreprise. Tous les employés et sous-traitants ultérieurs du Prestataire ayant accès aux Données à caractère personnel sont tenus de traiter ces données uniquement sur instruction et exclusivement pour l’exécution des services convenus contractuellement.
Les employés du Prestataire sont sensibilisés aux questions de protection des données et de sécurité informatique par le biais de formations spécifiques.
2. Protection contre les accès non autorisés
L’accès au bâtiment dans lequel se trouve le bureau du Prestataire est contrôlé par un gardien/concierge. En dehors des heures d’ouverture, l’immeuble de bureaux est également sécurisé par un système d’accès électronique. Seules les personnes qui connaissent le code correspondant ont accès au bâtiment. L’accès au bureau du Prestataire à l’intérieur du bâtiment est sécurisé par un système de verrouillage à clé moderne.
Les zones présentant des exigences de sécurité accrues, telles que le siège informatique de l’entreprise et la société mère du Prestataire (InVision AG, Speditionstrasse 5, 40221 Düsseldorf, Allemagne), sont en outre sécurisées par un système d’alarme électronique d’accès/intrusion, un système d’alarme anti-effraction et contrôlées par un agent de sécurité en dehors des heures d’ouverture, surveillées par vidéo et verrouillées conformément à la norme applicable. Il existe un système de gestion des clés dédié.
Les autorisations d’accès reposent sur les domaines de responsabilité des collaborateurs. Ils sont affectés de manière ciblée et sont immédiatement ajustés ou retirés en cas de modification de ces domaines de responsabilité.
3. Protection des ordinateurs
Chaque employé du Prestataire utilise un ordinateur qui lui a été attribué. Pour accéder à son ordinateur, l’employé s’authentifie sur l’appareil en saisissant son nom d’utilisateur et son mot de passe. Pour augmenter encore le niveau de protection des ordinateurs des employés, les disques durs des ordinateurs sont cryptés par défaut, de sorte qu’en cas de perte ou de vol, aucune personne non autorisée ne peut accéder aux données locales. Le réseau interne du Prestataire est protégé contre les attaques externes par l’utilisation de pare-feu. L’accès au WLAN interne est sécurisé par des méthodes d’authentification de pointe. Le WLAN invité est logiquement séparé du WLAN interne.
4. Protection des données lors de la transmission, du transport et de l’accès à distance
Il convient de s’assurer que les Données à caractère personnel ne peuvent pas être lues, copiées, modifiées ou supprimées pendant la transmission électronique ou le transport des données ou le stockage sur des supports de données.
Les mesures suivantes s’appliquent :
Les canaux de communication électronique sont sécurisés en utilisant des réseaux fermés et des méthodes de cryptage des données. En cas de transport physique des supports de données, des procédures de transport existantes et vérifiables sont utilisées pour protéger contre l’accès non autorisé ou la perte de données. Les supports de données sont éliminés de manière appropriée à la protection des données. Les connexions de télémaintenance sont protégées par des procédures de cryptage adaptées.
II. Mesures spécifiques pour les services dans lesquels le Prestataire stocke les données du client dans les systèmes informatiques
Ces Mesures spécifiques assurent la protection de la confidentialité, de l’intégrité, de la disponibilité et de la résilience des systèmes informatiques dans lesquels le Prestataire stocke des Données à caractère personnel. Ces Mesures s’appliquent lorsque le stockage de données représente un aspect significatif des services contractuels par le Prestataire et n’est pas seulement temporaire.
1. Protection contre le Traitement non autorisé
L’accès aux Données à caractère personnel dans les systèmes informatiques est accordé selon un concept d’autorisation qui repose sur la fonction exercée (« besoin de savoir »). En outre, l’accès non autorisé aux Données à caractère personnel est empêché si besoin par le cryptage des données.
2. Assurance de la traçabilité
L’accès aux Données à caractère personnel est enregistré dans des fichiers contenant l’identifiant et l’horodatage de l’utilisateur concerné.
3. Assurance de l’intégrité, de la disponibilité et de la stabilité
Le Prestataire stocke les Données à caractère personnel en utilisant des systèmes redondants, qui sont en outre protégés contre toute perte par des mesures de sécurité appropriées et régulièrement exécutées. La disponibilité des services informatiques internes est garantie par un concept de sauvegarde approprié. Des processus de restauration sont effectués régulièrement pour vérifier la validité des sauvegardes disponibles. La société mère du Prestataire utilise des alimentations électriques sans interruption (ASI) pour assurer l’alimentation électrique de son siège informatique.