Connexion

ADDENDUM RESPONSABLE DU TRAITEMENT DES DONNÉES

NOMINATION DU RESPONSABLE DU TRAITEMENT

L’Utilisateur (ci-après « Propriétaire » ou « Client » ou « Responsable du Traitement »), par acceptation expresse des Termes et Conditions de « VOTRE MARQUE » (ci-après « Fournisseur » ou le « Sous-traitant »), accepte cet addendum sur le traitement des données personnelles, qui constitue une partie intégrante de la relation entre les Parties. Cet Addendum est signé conformément à l’Article 28 du Règlement 679/2016 et régit la manière dont le Sous-traitant traitera les données personnelles pour le compte du Responsable du Traitement. Le Responsable du Traitement et le Sous-traitant peuvent également être désignés individuellement comme « Partie » et collectivement comme « Parties ».

CONSIDÉRANT QUE

  • Les opérations de traitement des données personnelles effectuées par le Responsable du Traitement sont inscrites dans le registre des opérations de traitement tenu par le Responsable du Traitement ;
  • Pour certaines opérations de traitement, le Responsable du Traitement fait appel à la coopération du Fournisseur ;
  • Le Fournisseur, dans le cadre des services offerts au Responsable du Traitement, comme détaillé dans le contrat spécifique en place, peut effectuer le traitement des données personnelles pour le compte du Responsable du Traitement ;
  • Le Responsable du Traitement et le Fournisseur ont signé un accord pour la fourniture d’un service web et tablette intégré pour créer, gérer et envoyer des demandes d’avis (« Service »), dont ce document fait partie intégrante ;
  • En référence au Service mis à disposition par le Fournisseur, ce dernier peut traiter des données personnelles appartenant au Contrôleur et, plus spécifiquement, des données communes (prénom, nom, coordonnées) des clients finaux du Titulaire ;
  • L’objectif du traitement est de fournir une solution technologique permettant au Titulaire de pouvoir profiter du Service ;
  • conformément à l’Article 28.1 du Règlement (UE) 2016/679, Règlement Général sur la Protection des Données (ci-après « RGPD »), « lorsqu’un traitement doit être effectué pour le compte du Responsable du Traitement, ce dernier ne doit utiliser que des responsables du traitement présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement et garantisse la protection des droits de la personne concernée. »
  • Le Responsable du Traitement a vérifié que le Fournisseur, également conformément à l’Article 28.1 du RGPD, présente « des garanties suffisantes pour mettre en place des mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences du Règlement et garantisse la protection des droits de la personne concernée. » Le Responsable du Traitement nomme le Fournisseur comme le « RESPONSABLE DU TRAITEMENT DES DONNÉES PERSONNELLES » (ci-après également simplement « Sous-traitant » ou « Traitant »), en ce qui concerne les données personnelles que le Fournisseur peut traiter dans l’exécution de ses activités et celles qui pourraient lui être confiées à l’avenir.

Conformément au RGPD, l’activité effectuée par le Sous-traitant sera régie comme suit :

  1. DURÉE. Cette nomination sera effective pendant la durée de la relation du Sous-traitant avec le Contrôleur et sera considérée comme automatiquement révoquée en cas de résiliation de celle-ci.

  2. OBJECTIF DU TRAITEMENT. Les données qui sont confiées au Gestionnaire, dans le cadre des activités qui lui sont confiées pour l’utilisation du Service, ne peuvent être traitées que pour les objectifs indiqués dans le mandat confié et/ou dans le contrat conclu avec le Propriétaire. En particulier, les données seront traitées par le Fournisseur uniquement dans le but de pouvoir garantir la fourniture du Service au Propriétaire qui, en tout état de cause, restera la seule entité obligée de devoir communiquer au client final les finalités et obtenir le consentement au traitement, ainsi que la communication des données à des tiers.

  3. MÉTHODES DE TRAITEMENT. Les données peuvent être traitées sur papier ou support numérique, en fonction des activités réalisées, à condition que les outils soient correctement identifiés et inventoriés par le Gestionnaire et systématiquement communiqués au Propriétaire pour son approbation. En particulier, les données seront traitées au moyen de la plateforme logicielle « YOUPIREVIEWS ».

  4. DEVOIRS ET TÂCHES DU RESPONSABLE. Le Sous-traitant des données, comme stipulé dans l’Article 28 du RGPD, s’engage à :

(a) traiter les données personnelles confiées uniquement sur instruction documentée du Contrôleur, même en cas de transfert de données personnelles vers un pays tiers, sauf disposition contraire de la loi. Dans ce cas, le Responsable est toujours obligé d’informer le Contrôleur ;

(b) s’assurer que les personnes autorisées à traiter se sont engagées à la confidentialité, ou sont soumises à une obligation légale appropriée de confidentialité. À cette fin, le Responsable doit vérifier périodiquement que les personnes en charge : (i) effectuent le traitement de manière licite et correcte, exclusivement dans le but de fournir les services couverts par la relation contractuelle entre les Parties ; (ii) traitent les données personnelles uniquement à des fins inhérentes aux tâches qui leur sont assignées ; (iii) ne communiquent ni ne diffusent les données personnelles sans l’autorisation préalable du Responsable du Traitement ; (iv) vérifient, en cas d’interruption temporaire du travail, que les données personnelles traitées ne sont pas accessibles à des tiers non autorisés ; (v) gardent et conservent les identifiants d’authentification strictement confidentiels ; (vi) respectent les mesures de sécurité exigées par le Responsable du Traitement et/ou le Contrôleur ;

(c) assurer une formation adéquate et prouvée pour les personnes autorisées à traiter, conformément à l’Article 29 du RGPD ;

(d) prendre, conformément à l’Article 32 du RGPD, toutes les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, en tenant compte de l’état de l’art et des coûts de mise en œuvre, ainsi que de la nature, de l’objet, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, afin de minimiser les risques de destruction ou de perte, y compris la perte accidentelle des données elles-mêmes, d’accès non autorisé ou de traitement non autorisé ou non conforme aux finalités de la collecte

(e) informer le Responsable du Traitement, conformément à l’Article 28 RGPD, s’il est nécessaire d’utiliser un autre Sous-traitant ;

(f) assister le Contrôleur dans le respect des obligations légales en vertu des Articles 32 (Sécurité du traitement), 33 (Notification d’une violation de données personnelles à l’Autorité de surveillance), 34 (Notification d’une violation de données personnelles à la personne concernée), 35 (Évaluation d’impact sur la protection des données), 36 (Consultation préalable), en tenant compte de la nature du traitement et des informations disponibles pour le Contrôleur.

(g) prévoir la mise à jour, la modification, la rectification des données personnelles si cela est nécessaire par rapport aux finalités du traitement, et supprimer ou restituer rapidement, sur demande du Contrôleur, toutes les données personnelles et copies existantes dont le Responsable est en possession sans pouvoir conserver aucune copie, sauf accord contraire express ou prévu par la loi. En tout état de cause, supprimer et/ou détruire, comme exigé par la loi (tel que le « wiping » pour les données numériques), les données personnelles lorsque les finalités pour lesquelles les données ont été collectées et traitées ont été atteintes en l’absence d’une obligation légale ou du besoin de conservation ultérieure ;

(h) permettre au Contrôleur d’exercer le pouvoir de contrôle en vertu de l’Article 28 RGPD : dans ce contexte, mettre à disposition du Contrôleur toutes les informations nécessaires pour démontrer le respect des obligations de cet Addendum et pour démontrer le respect des obligations légales et permettre des activités de vérification (Audit), réalisées par le Contrôleur ou par des tiers mandatés par le Contrôleur, afin de constater l’observation de ces méthodes de traitement des données et la conformité aux exigences légales. Le Responsable du Traitement aura le droit de vérifier, avec un préavis d’au moins 20 (vingt) jours ouvrables, également dans les locaux du Responsable du Traitement, la conformité des procédures adoptées par ce dernier avec ce qui est indiqué dans cet Addendum ou exigé par la loi ;

(i) s’engager à respecter la Disposition Générale du Garant pour la Protection des Données Personnelles du 27 novembre 2008 « Mesures et expédients prescrits aux titulaires de traitement effectué avec des instruments électroniques en relation avec les attributions des fonctions d’administrateur système » telle que modifiée par l’Ordre du Garant du 25 juin 2009 « Modifications à l’ordre du 27 novembre 2008 sur les prescriptions aux titulaires de traitement effectué avec des outils électroniques en ce qui concerne les attributions d’administrateur système et extension des délais pour leur accomplissement, » telle que modifiée ou remplacée par le même Garant, et à toute autre mesure pertinente de l’Autorité ;

(j) coopérer aux fins de l’application exacte de la loi, y compris par des réunions périodiques et agir dans le cadre et les limites de leurs fonctions, de manière autonome, mais toujours conformément aux directives établies par le Contrôleur.

5. SURVEILLANCE. Le Responsable du Traitement peut superviser le respect ponctuel des instructions données ici au Sous-traitant et vérifiera la continuation des exigences d’expérience, de capacité et de fiabilité qui ont influencé la désignation du Sous-traitant.

6. VIOLATION. Le Sous-traitant est informé que s’il viole les dispositions de la loi en déterminant de manière indépendante les finalités et les moyens du Traitement, ou en ignorant les instructions reçues du Contrôleur, il sera considéré comme le Responsable du Traitement en question ;

7. ASSISTANCE AU CONTRÔLEUR EN CAS DE VIOLATION. En cas de violation de données personnelles, le Fournisseur s’engage à informer le Contrôleur sans retard injustifié à partir du moment où il a connaissance de la violation. Le Fournisseur assistera le Titulaire en initiant une analyse préliminaire visant à collecter des données concernant l’anomalie et à compiler une fiche d’événement, contenant toutes les informations collectées et disponibles à ce moment-là, telles que, mais sans s’y limiter :

  • Date de l’événement, également la date présumée de survenance de la violation (dans ce cas, il convient de le préciser)
  • Date et heure de connaissance de la violation ;
  • Source de signalement ;
  • Type de violation et informations impliquées ;
  • Description de l’événement anormal ;
  • Nombre de personnes concernées impliquées ;
  • Nombre de données personnelles prétendument violées ;
  • Indication de la date, y compris la date présumée, de la violation et de quand elle est devenue Connaissance ;
  • Indication du lieu où la violation de données s’est produite, en précisant également si elle s’est Produite à la suite de la perte d’appareils ou de supports portables ;
  • Description concise des systèmes de traitement ou de stockage des données impliqués, avec indication de leur emplacement.

8. CONFIDENTIALITÉ. Le Sous-traitant s’engage à garder strictement confidentielle et confidentielle et à utiliser uniquement pour l’exécution des obligations contractuelles, toute information relative à l’autre Partie et/ou à celles impliquées dans le traitement des données personnelles et/ou à des produits, services, organisation, stratégie commerciale ou technique reçue de l’autre Partie ou dont il a connaissance pendant l’exécution du contrat lié au Service (ci-après désignée comme « Informations Confidentielles »). Le Responsable s’engage à ne pas utiliser les Informations Confidentielles en dehors des finalités prévues par cet accord, ni à les divulguer à des parties non prévues par cet accord, sans l’approbation écrite du Propriétaire. Le Gestionnaire prendra toutes les mesures nécessaires pour ne pas divulguer ou rendre disponible de quelque manière que ce soit les Informations Confidentielles du Propriétaire et/ou des parties intéressées à des tiers, et sera en tout cas tenu directement responsable envers le Propriétaire pour toute violation par ses employés et/ou sous-traitants des obligations de confidentialité énoncées dans cet article. Les dispositions de cet Article ne s’appliqueront pas ou cesseront de s’appliquer à ces informations individuelles que le Contrôleur peut prouver : (i) sont déjà devenues de connaissance publique pour des raisons autres que la violation par le Contrôleur lui-même ; (ii) étaient déjà connues avant d’avoir été reçues par le Contrôleur ; (iii) ont été divulguées ou communiquées en conformité avec une ordonnance légale de toute autorité ou en vertu d’une obligation légale. Les Informations Confidentielles divulguées resteront la propriété du Responsable du Traitement. Sur demande écrite du Propriétaire lui-même, ces informations seront restituées ou détruites par le Responsable.

9. MODIFICATIONS ET AJOUTS. Les Parties auront le droit d’apporter les modifications et ajustements à cet Accord qui pourraient être nécessaires à tout moment, y compris pour se conformer à toute mise à jour réglementaire. Un avis de toute demande de modification sera donné au Gestionnaire par lettre recommandée avec accusé de réception ou e-mail certifié. Suite à la demande de modification susmentionnée, le Gestionnaire disposera de 60 jours pour se retirer de l’accord. Après cette période, les modifications seront considérées comme acceptées par le Sous-traitant. Pour tout ce qui n’est pas expressément prévu dans cet accord, veuillez-vous référer aux dispositions générales en vigueur concernant la protection des données personnelles.

10. LOIS APPLICABLES. En cas de litige concernant la validité, l’interprétation, l’exécution et la résiliation de cet Addendum, les Parties conviennent de rechercher un règlement juste et amiable entre elles. Si le litige n’est pas réglé à l’amiable, il sera réputé relever de la compétence exclusive de l’Autorité Judiciaire du Tribunal de Rome. Pour la résolution de tout litige concernant la validité, l’interprétation, l’exécution et la résiliation de cet accord, le droit italien sera appliqué.

Il est entendu que cette nomination n’implique aucun droit du Fournisseur à une compensation et/ou indemnité et/ou remboursement spécifique découlant de cette nomination, au-delà de ce qui est déjà prévu dans les termes et conditions.

Commencez à collecter des Avis sur moins de 10mn.

Planifiez une Démo
Accueil
Comment ça marche ?
Fonctionnalités
Prix
Contact
Blog
Gestion des Avis
Surveillez vos Avis
Générer des Avis
Réponse aux Avis assistée par IA
Rapport et analyses
Widgets Avis Clients
Politique de Confidentialité -
Politique de Cookies -
CGU

Copyright © 2024  – Propulsé par BeeYoupi