CONDITIONS GÉNÉRALES DE SOUS-TRAITANCE EN MATIÈRE DE TRAITEMENT DE DONNÉES PERSONNELLES

Les présentes Conditions Générales concernent les dispositions contractuelles relatives à la sous-traitance en matière de données personnelles, assurée par la Société EVALANDGO, société par actions simplifiées au capital social de 75 614€ immatriculée au RCS de MONTPELLIER sous le numéro 528 723 703 00013, ayant son siège social Business Plaza, Bat 3, 159 rue de Thor, 34000 Montpellier au profit des Clients et Utilisateurs de la Solution de sondage en ligne EVALANDGO (ci-après « les Services »).

 

Les Services sont fournis via une plateforme de sondage accessible via le site internet https://app.evalandgo.com (ci-après désignée « Plateforme EVALANDGO »).

 

Dans le cadre des Services, les Clients et Utilisateurs peuvent, via leur accès personnel et sécurisé aux Services (ci-après désigné « Compte »), concevoir et diffuser des questionnaires numériques (ci-après désignés « Questionnaires »), auxquels des personnes sondées (désignées ci-après « Sondés ») répondent. Les réponses des Sondés se font via les Services. Ces réponses peuvent contenir des Données personnelles et sont traitées pour le compte des Clients et Utilisateurs, par EVALANDGO dans le cadre des Services.

En conséquence, dans le cadre des Services, les Clients et Utilisateurs sont susceptibles d’être responsables de traitement et EVALANDGO est susceptible d’être sous-traitant pour le traitement des données personnelles traitées.

Les présentes dispositions s’ajoutent à celles du règlement et à la politique de confidentialité desdits services, pour toute la durée contractuelle d’exécution des Services.

Dans le cadre des présentes, EVALANDGO est désignée « le  Sous-traitant » ou « EVALANDGO » et le Client ou l’Utilisateur sera désigné « le Responsable du traitement ». Ensemble, ils sont désignés « les Parties ».

 

I. DEFINITIONS

 

Dans le cadre des présentes Conditions Générales de sous-traitance, les termes ou expressions ci-après mentionnées auront le sens suivant si leur première lettre est en majuscule.

 

Données personnelles : toute information identifiant directement ou indirectement une personne physique (ex. nom, no d’immatriculation, no de téléphone, photographie, date de naissance, commune de résidence, adresse IP...).

 

Traitement : Toute opération, ou ensemble d’opérations, portant sur de telles Données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...)

 

II. OBJET

 

Les présentes Conditions Générales de sous-traitance ont pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage, dans le cadre des Services, à effectuer pour le compte du Responsable de traitement, des Traitements. Les présentes conditions générales de sous-traitance ont également pour objet des définir les droits et obligations des Parties en matière de sous-traitance de Traitements.

 

Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter, outre les présentes Conditions Générales de sous-traitance, la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018, règlement européen sur la protection des données (ci-après, « RGPD »).

 

III. DESCRIPTION DU TRAITEMENT FAISANT L’OBJET DE LA SOUS-TRAITANCE

 

Le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement les Données personnelles nécessaires aux Services.

 

La nature des opérations réalisées sur les Données personnelles est la suivante : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction.

 

Les finalité(s) du Traitement pourront être les suivantes : prospections de clients, exécution d’un contrat, contrôle de la qualité de produits ou services, étude de satisfaction de clients ou utilisateurs, la recherche et développement, la réalisation d’études de marché, étude préalable à la mise sur le marché d’un produit ou service, la gestion des ressources humaines, la consultation de prestataire ou prestataires potentiels, la recherche de partenaires. Lors de la conception d’un Questionnaire, le Responsable du traitement devra préciser la finalité spécifique du Questionnaire. La finalité du Traitement ne peut être au bénéfice du Sous-traitant.

 

Les données à caractère personnel pouvant être traitées dans le cadre des Services sont les suivantes : tout type de Données personnelles au sens du RGPD, à l’exception (i) des données sensibles, et (ii) des données relatives aux infractions, condamnations et mesures de sûreté. Le numéro de sécurité sociale ne peut être traité que dans le cadre d’un Traitement ayant pour finalité la gestion des ressources humaines.

 

Les catégories de Sondés peuvent être les suivants : personnes physiques majeures, et des personnes morales, clients, utilisateurs de services, prospects, salariés, candidats à l’embauche, partenaires ou potentiels partenaires, contractants, prestataires ou potentiels prestataires, personnes concernées par l’objet de l’activité recherche et développement du client.

 

IV. OBLIGATIONS DU SOUS-TRAITANT VIS-A-VIS DU RESPONSABLE DE TRAITEMENT

 

Le Sous-traitant s'engage à :

1. traiter les Données personnelles uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance

2. traiter les Données personnelles conformément aux instructions du Responsable de traitement mentionnées sur la Plateforme EVALANDGO. Si le Sous-traitant considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Responsable de traitement. En outre, si le Sous-traitant est tenu de procéder à un transfert de Données personnelles vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable du traitement de cette obligation juridique avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public

3. garantir la confidentialité des Données personnelles traitées dans le cadre des Services,

4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,

- reçoivent la formation nécessaire en matière de protection des Données personnelles

5. prendre en compte, s’agissant des Services, les principes de protection des Données personnelles dès la conception et de protection des Données personnelles par défaut

6. Sous-traitance : le Sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de Traitement spécifique. Dans ce cas, il informe préalablement et par écrit le Responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de Traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le Responsable de traitement dispose d’un délai minium de SEPT JOURS à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le Responsable de traitement n'a pas émis d'objection pendant le délai convenu. Le sous-traitant du Sous-traitant est tenu de respecter les obligations des présentes conditions générales de sous-traitance. Il appartient au Sous-traitant de s’assurer que son sous-traitant présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du RGPD. Si son sous-traitant ne remplit pas ses obligations en matière de protection des Données personnelles, le Sous-traitant demeure pleinement responsable devant le Responsable de traitement de l’exécution par son sous-traitant de ses obligations.

7. Droit d’information des personnes concernées : Il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les Opérations de traitement au moment de la collecte des données. Le Responsable de traitement peut utiliser les Services pour fournir cette information.

8. Exercice des droits des personnes : Dans la mesure du possible, le Sous-traitant doit aider le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, le Sous-traitant doit adresser ces demandes dès réception par courrier électronique à l’adresse mail du Responsable de traitement mentionnée dans son Compte.

9. Notification des violations de données à caractère personnel : Le Sous-traitant notifie au Responsable de traitement toute violation de Données personnelles dans un délai maximum de 48 heures après en avoir pris connaissance et par mail. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

10. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations : Le Sous-traitant aide le Responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.

Le Sous-traitant aide le Responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.

11. Mesures de sécurité : Le Sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :

- un accès sécurisé à la Plateforme EVALANDGO par le biais Compte avec mot de passe.

- Chiffrements des Données personnelles afin d'en garantir la confidentialité dans le cadre de transferts.

- ne pas utiliser les Données personnelles à d’autres fins que celles pour lesquelles elles ont été collectées.

- conserver les Données personnelles durant une période limitée et proportionnée.

- ne pas transférer ces Données personnelles à des tiers autres que les prestataires d’EVALANDGO qui interviennent dans le cadre de l’exécution des Services.

- à mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation des Services.

- les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de Traitement ;

- les moyens permettant de rétablir la disponibilité des Données personnelles et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

- une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement,

- Recours à un ou plusieurs prestataire(s) d’hébergement des Données personnelles ayant pris les engagements fiables relativement au respect du RGPD et notamment les suivants :

- des mesures de sécurité physique afin d’empêcher l’accès aux infrastructures sur lesquelles sont stockées les données d’EVALANDGO par des personnes non autorisées,

- un personnel de sécurité chargé de veiller à la sécurité physique des locaux d’hébergement des données 24 heures sur 24 et 7 jours sur 7,

- un système de gestion des habilitations permettant de limiter l’accès aux locaux d’hébergement et aux données aux seules personnes ayant besoin d’y accéder dans le cadre de leurs fonctions et de leur périmètre d’activité,

- un système d’isolation physique et/ou logique (en fonction des services) de ses clients entre eux,

- des processus d’authentification forts de ses utilisateurs et administrateurs grâce notamment à une politique stricte de gestion des mots de passe et le déploiement de certaines mesures de double authentification,

- des processus et dispositifs permettant de tracer l’ensemble des actions réalisées sur son système d’information et d’effectuer, conformément à la réglementation en vigueur, des rapports en cas d’incident affectant les données du client,

L'accès aux informations personnelles est strictement réservé aux employés, mandataires sociaux et sous-traitants d’EVALANDGO qui ont besoin d'y accéder afin de les traiter pour le compte d’EVALANDGO. Toute personne y ayant accès est soumise à de strictes obligations de confidentialité et est susceptible de faire l'objet de sanctions disciplinaires pouvant aller jusqu'au licenciement ou à la rupture du contrat de prestation de services en cas de manquement à ces obligations.

12. Sort des données : Au terme des Services, le Sous-traitant s’engage à détruire toutes Données personnelles au terme d’un délai de 6 mois après l’arrêt des Services. En cours d’exécution des Services, le Sous-traitant s’engage à détruire les Données personnelles dans un délai de 24 mois courant après leur collecte.

13. Registre des catégories d’activités de traitement : Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement comprenant :

- le nom et les coordonnées du Responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données;

- les catégories de Traitements effectués pour le compte du Responsable du traitement;

- le cas échéant, les transferts de Données vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées;

- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :

le chiffrement des données à caractère personnel;

des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

des moyens permettant de rétablir la disponibilité des Données et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du Traitement.

14. Documentation : Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligationset pour permettre la réalisation d'audits, y compris des inspections, par le Responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

 

V.OBLIGATIONS DU RESPONSABLE DE TRAITEMENT VIS-A-VIS DU SOUS-TRAITANT

 

Le responsable de traitement s’engage à :

1. Ne réaliser via les Services que des Traitements conformes au II des présentes conditions générales de traitement

2. Ne pas réaliser, par le biais de la plateforme EVALANDGO, un suivi régulier et systématique des Sondés,

3. Se conformer aux consignes en matière de Traitement, mentionnées dans la Plateforme EVALANDGO, et notamment à préciser dans lors de la conception des Questionnaires, les questions dont les réponses des Sondés seront des Données personnelles,

4. Veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par le RGPD

5. Superviser le Traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant

6. Faire sont affaire personnelle de la sauvegarde des Données personnelles récoltées dans le cadre des Services, au-delà de la période visées au paragraphe IV. 12 ci-avant.