Passer au contenu principal

Generix annonce la nomination d’Olivier Vaillancourt au poste de Directeur Général pour l’Amérique du Nord Lire le communiqué

Recherche

PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL

PRÉAMBULE

Le Prestataire étant amené à traiter des Données à caractère personnel dans le cadre du Contrat pour le compte du Client, les Parties souhaitent préciser leurs droits et obligations.

DÉFINITIONS

Dans le présent contrat, les mots ou expressions commençant avec une majuscule auront la signification suivante :

« Contrat » désigne le contrat conclu avec le Prestataire dans le cadre duquel s’inscrit la présente annexe.

« Données à caractère personnel ou DCP » : désigne toute information relative à une personne physique identifiée ou qui peut être identifiée (ci-après « Personne Concernée »), directement ou indirectement, notamment par référence à un numéro d’identification, une donnée de localisation, des identifiants en ligne (par exemple, pseudo et mot de passe) ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;

« Règlementation » : désigne, lorsqu’applicable, l’ensemble des lois et règlements en matière de DCP, de l’Union Européenne et du Canada, par exemple la loi française dite « Informatique et Libertés » n°78-17 du 6 janvier 1978 modifiée, et le Règlement Général sur la Protection des Données Personnelles 2016/679 en date du 27 avril 2016 (« RGPD »), au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé – la « Loi sur le secteur privé »; ainsi qu’à toute autre loi, règlement, recommandation ou avis applicable remplaçant, complétant ou modifiant, étendant, reconstituant ou consolidant la Règlementation ;

« Prestations » : désigne l’ensemble des prestations réalisées par le Prestataire pour le Client et telles que visées dans le Contrat ;

« Responsable de Traitement » : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Dans le cadre du Contrat et de la présente annexe, le Responsable de Traitement est le Client ;

« Sous-traitant » : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des DCP pour le compte du Responsable de Traitement, et conformément à ses instructions. Dans le cadre du Contrat et de la présente annexe, le Sous-traitant est le Prestataire, soit GENERIX ;

« Traitement » : désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

Les termes et expressions « Violation de DCP », « Traiter », « Personne concernée », « Etat membre », « Autorité de contrôle », « Clauses types », ont le même sens que celui qui leur est donné dans la Réglementation, et les expressions voisines doivent être interprétées de la même manière.

ARTICLE 1

OBLIGATIONS GÉNÉRALES DU CLIENT

  • Le Client s’engage à respecter la Réglementation dans le cadre du Contrat.
  • GENERIX, en sa qualité de Sous-Traitant, ne traitera des Données à caractère personnel que sur instructions documentées du Client, telles que figurant en Appendice A de la présente annexe, et exclusivement pour accomplir les prestations confiées au titre du Contrat. Le Client s’engage à renseigner l’Appendice A de la présente annexe à la signature du Contrat et au plus tard dans les quatre semaines suivant la signature du Contrat. Si le Client utilise les services objet du Contrat pour traiter d’autres données ou catégories de Données à caractère personnel ou pour d’autres Traitements que ceux décrits dans l’Appendice A, le Client le fait à ses risques et périls et GENERIX ne peut être tenu pour responsable en cas de manquement à la Réglementation. Le Client reconnait que GENERIX se limite à suivre les instructions documentées du Client, sous réserve d’informer le Client en cas d’instructions données non conformes à la Réglementation. Toute demande du Client excédant ou modifiant les instructions de traitement figurant en Appendice A font l’objet d’un devis séparé. Toute instruction non documentée par écrit ou non conforme à la Réglementation n’est pas prise en compte.
  • Le Client, en sa qualité de Responsable de Traitement s’engage à alerter sans délai GENERIX en cas d’évolution des services demandés, entraînant ou risquant d’entraîner un changement potentiel du statut sous-traitant de GENERIX au regard de la Réglementation.
  • Le Client reconnait que les engagements de GENERIX dans le cadre de la présente annexe constituent des garanties suffisantes de la conformité de GENERIX à la Réglementation.
  • Il appartient au Client de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des Au choix du Responsable de traitement, GENERIX assistera le Client dans la mise en œuvre de cette obligation d’information. Dans cette dernière hypothèse, les modalités d’assistance demandée par le Client seront convenues d’un commun accord entre le Client et GENERIX.

ARTICLE 2

OBLIGATIONS DE GENERIX VIS-A-VIS DU CLIENT

  • Agir sur instructions documentées du Responsable de Traitement
  • GENERIX s’engage à traiter les Données à caractère personnel objet de la présente annexe, conformément aux fins de l’exécution des Prestations et aux instructions listées en Appendice A, à moins que GENERIX ne soit tenu de traiter les DCP en vertu d’une disposition impérative résultant du droit communautaire ou du droit de l’Etat Membre auquel il est soumis. Dans ce cas, GENERIX en informera le Client dans les meilleurs délais, et si possible avant le Traitement.
  • Si GENERIX considère qu’une instruction constitue une violation de la Réglementation, GENERIX s’engage à en informer le Client.

 

  • Garantir la confidentialité des DCP
  • GENERIX s’engage à garantir la confidentialité des Données à caractère personnel traitées dans le cadre de la présente Annexe.
  • GENERIX s’engage à veiller à ce que les personnes autorisées à traiter les Données à caractère personnel, dans le cadre de leurs fonctions au titre du présent accord en vertu des présentes :
  • S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • Reçoivent la sensibilisation nécessaire en matière de protection des Données à caractère personnel.
    • Sous-Traitance

GENERIX peut faire appel à un autre sous-traitant (« Sous-Traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il en informe par écrit le Client. Il appartient à GENERIX de s’assurer que le Sous-Traitant ultérieur présente les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences de la Règlementation. GENERIX devra également s’assurer que toutes les obligations de GENERIX en vertu de la présente Annexe sont respectées par toute société remplaçant GENERIX, quel que soit son rang ou son mode d’intervention, en prévoyant expressément ces mêmes obligations dans le contrat liant GENERIX à ladite société ou GENERIX à tout sous-traitant ultérieur.

  • Droits des personnes
  • Dans la mesure du possible, GENERIX aidera le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées au titre de la Règlementation.
  • Lorsque les personnes concernées exercent auprès de GENERIX des demandes d’exercice de leurs droits, GENERIX adressera ces demandes par courrier électronique à la personne désignée par le Responsable de traitement en Appendice A ou communiqué par tout autre moyen. GENERIX ne pourra répondre directement à la demande d’une personne concernée que sur instruction documentée du Responsable de traitement.
  • Le Client reconnait que les diligences précitées satisfont à l’obligation de coopération et d’assistance de GENERIX à l’égard du Client pour lui permettre d’assurer la conformité du Traitement à la Réglementation. En cas de nécessité de mettre en œuvre des diligences additionnelles, les Parties conviennent de se réunir et discuter de bonne foi des conditions de ces diligences additionnelles, qui feront l’objet d’un avenant aux présentes.
    • Notification des violations de Données à caractère personnel
  • Une violation de Données à caractère personnel s’entend de toute violation de la sécurité entraînante, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de DCP transmises, conservées ou traitées d’une autre manière, ainsi que l’accès, l’utilisation non autorisée à de telles DCP. ou toute autre atteinte à la protection de telles DCP.
  • GENERIX notifie au Client toute violation de Données à caractère personnel dans les meilleurs délais après en avoir pris connaissance et conformément à la procédure définie par le Responsable de Traitement en Appendice A, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compéten
  • Le Client reconnait que les diligences précitées satisfont à l’obligation de coopération et d’assistance de GENERIX à l’égard du Client pour lui permettre d’assurer la conformité du Traitement à la Réglementation. En cas de nécessité de mettre en œuvre des diligences additionnelles, les Parties conviennent de se réunir et discuter de bonne foi des conditions de ces diligences additionnelles, qui feront l’objet d’un avenant aux présentes.
    • Analyses d’impact
  • GENERIX aide le Responsable de Traitement pour la réalisation d’analyses d’impact relatives à la protection des Données que le Responsable de Traitement devrait effectuer en vertu de la Réglementation.
  • Le Client reconnait que les diligences précitées satisfont à l’obligation de coopération et d’assistance de GENERIX à l’égard du Client pour lui permettre d’assurer la conformité du Traitement à la Réglementation. En cas de nécessité de mettre en œuvre des diligences additionnelles, les Parties conviennent de se réunir et discuter de bonne foi des conditions de ces diligences additionnelles, qui feront l’objet d’un avenant aux présentes.

ARTICLE 3

SÉCURITE ET CONFIDENTIALITÉ

  • GENERIX s’engage à mettre en œuvre l’ensemble des mesures d’ordre technique et organisationnel appropriées et à prendre toutes précautions utiles pour garantir un niveau de sécurité adapté au risque existant.
  • GENERIX s’engage à prendre toutes précautions utiles au regard de la nature des Données et des risques par le Traitement, pour préserver la sécurité des Données et empêcher toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation, et/ou tout accès par des tiers non autorisés préalablement.
  • Les mesures prises par GENERIX doivent tenir compte des possibilités techniques les plus récentes et du coût de leur mise en œuvre, des caractéristiques du traitement (nature, portée, finalité etc.) ainsi que des risques présentés pour les droits des Personnes Concernées. Il peut notamment s’agir :
  • de mesures de chiffrement des données ;
  • de mesures permettant de s’assurer, pendant la mise en œuvre du traitement, de la confidentialité, de l’intégrité, de la disponibilité et de la résistance des systèmes et services traitant les données ;
  • de mesures permettant de restaurer l’accès et la disponibilité des données dans les plus brefs délais en cas d’incident matériel ou technique ;
  • de procédures destinées à évaluer et tester l’effectivité des mesures techniques et organisationnelles.
    • Le Client reconnait que les diligences précitées satisfont à l’obligation de coopération et d’assistance de GENERIX à l’égard du Client pour lui permettre d’assurer la conformité du Traitement à la Réglementation. En cas de nécessité de mettre en œuvre des diligences additionnelles, les Parties conviennent de se réunir et discuter de bonne foi des conditions de ces diligences additionnelles, qui feront l’objet d’un avenant aux présentes.

ARTICLE 4

RETOUR OU SUPPRESSION DES DONNÉES PERSONNELLES

Au terme du Contrat, GENERIX doit, au choix du Client, soit retourner l’ensemble des Données Personnelles traitées, soit les supprimer, et de n’en conserver aucune copie, et certifier au Client par écrit que la suppression a bien été réalisée sous réserve et dans la limite des obligations légales et réglementaires de conservation s’imposant au Prestataire.

ARTICLE 5

AUDIT

  • Le Client pourra, s’il le souhaite, dans la limite d’une (1) fois par an, réaliser, à ses frais, un audit au sein des locaux de GENERIX, directement ou par l’intermédiaire de tout tiers indépendant, non concurrent de GENERIX, afin de s’assurer du respect des mesures de protection des DCP, traitées dans le cadre du Contrat.
  • Dans l’hypothèse où le Client souhaiterait faire appel à un tiers pour la réalisation de l’audit, ce dernier s’engage expressément à faire signer audit tiers un accord de confidentialité et à se porter fort du respect de ses termes.
  • Le Client communiquera à GENERIX avec un préavis d’au moins quarante (45) jours calendaires, toute demande d’opération d’audit, la date de l’audit ainsi que le nom de l’éventuel tiers en charge de l’audit. GENERIX pourra refuser le cabinet d’audit et les personnes désignées pour réaliser l’audit, si la proposition du client fait apparaitre un conflit d’intérêt et/ou si le cabinet d’audit est un concurrent de GENERIX. En cas de refus, GENERIX devra le notifier sous un délai de huit (8) jours calendaires suivant la notification de l’audit faite par le Client ou par un cabinet d’audit en charge de le réaliser (l’Auditeur) dans les conditions définies par le présent Contrat.
  • Les modalités de réalisation de l’audit feront l’objet d’un accord préalable signé par les Parties, dans lequel figureront notamment les conditions suivantes :
  • Planning d’audit, étant ici précisé que l’audit ne pourra se tenir que les jours et heures ouvrés
  • Les intervenants concernés
  • Les qualités du cabinet d’audit et de l’auditeur, étant ici précisé que le cabinet d’audit et l’auditeur devront être certifiés ISO 27 001 et/ou GDPR compliant
  • Les modalités de communication du rapport d’audit à GENERIX
    • GENERIX collaborera de bonne foi avec l’Auditeur et lui communiquera toutes informations ou documents ou explications nécessaires à la réalisation de l’audit. Les procédures d’accès seront communiquées par GENERIX au Client qui devra les respecter. Les connexions logiques pour accéder aux données Client seront réalisées par GENERIX à la demande de l’Auditeur et, lorsque cela est nécessaire, en présence de l’Auditeur.
    • GENERIX prendra à sa charge le temps passé par son personnel pour les besoins de l’audit dans la limite d’un (1) jour par an. Au-delà, l’audit sera facturé 3000 (trois mille) euros hors taxe par jour ouvré d’audit.
    • Le rapport d’audit sera adressé gratuitement à GENERIX par les auditeurs ou par le Client, dans un délai défini dans l’accord d’audit, de telle sorte que celui-ci puisse formuler, dans un délai de vingt (20) jours ouvrés suivant la date de sa communication, toutes observations ou objections par lettre recommandée avec accusé de réception adressée à l’auditeur et au Client. Ce rapport d’audit est confidentiel selon les conditions de l’Article « Confidentialité” du Contrat.
    • Au cas où le rapport d’audit ferait apparaître un manquement grave en matière de DCP, directement et exclusivement imputable à GENERIX, ce dernier s’engage expressément à mettre en œuvre à ses frais toutes les mesures correctives nécessaires pour remplir ses obligations contractuelles.

Article 6

TRANSFERTS INTERNATIONAUX DE RENSEIGNEMENTS PERSONNELS

6.1.         GENERIX héberge, utilise et plus généralement Traite les DCP aux Etats-Unis et au Québec. Les Parties ont conduit une évaluation des facteurs relatifs à la vie privée qui conclut que les traitements sont effectués en conformité avec la législation locale.

 

6.2.         Lorsque GENERIX désigne une société affiliée ou un sous-traitant ultérieur pour traiter les DCP hors du Québec, GENERIX doit s’assurer que ce traitement se fait conformément aux exigences de la Règlementation.

APPENDICE A : INSTRUCTIONS ÉXÉCUTION DE LA CHAÎNE D’APPROVISIONNEMENT

Les informations renseignées ci-dessous sont issues de la cartographie des solutions standard de Generix Group. En sa qualité de responsable de traitement, il appartient au Client d’en vérifier l’exactitude et l’exhaustivité. En aucun cas, la responsabilité de Generix Group ne pourra être recherchée à ce titre, ce que le Client reconnait expressément.

 

 

 

Nom du responsable du traitement[reprendre le nom du client dans l’en-tête du contrat]
Référence interne du contrat à Generix[insérer le numéro d’OPPY]
Date de début du traitement de données personnelles

 

Durée du traitement de données personnelles

[date de signature sauf autre date d’exécution précisée dans les CP]

 

 

 

[insérer durée du contrat]

Finalité du traitement 

En fonction des processus métiers souscrits :

 

SOLOCHAIN :

–          Gérer les opérations entrepôt : stockage, réception/retours, préparation, packing, expédition

–          Gérer les opérations transport : organisation, optimisation, affrétement, gestion documentaire, calcul des coûts et facturation

–           Analyser la performance

 

 

 

BE TO BE INTEGRATION

–          Contrôle des flux de données liés au processus B to B

–          Plateforme de collaboration clients et/ou fournisseurs

–          Dématérialisation fiscale des factures et archivage

–          Transferts de fichiers, échanges inter-applications

–          Maintenance et support

 

 

Catégories de personnes concernées dont les données personnelles sont traitées–          Utilisateurs de la solution du client et/ou de ses partenaires

–          Personnes concernées issues des données clients et prospects

 

Catégories de données personnelles traitées[ne retenir que les processus métiers souscrits, supprimer les autres]

–          Expl :  données d’identification des clients à livrer (telles que nom, prénom) ou des opérateurs entrepôts et/ou des chauffeurs de camion (numéro de matricule de l’opérateur entrepôt, nom du responsable), coordonnées de contact des clients à livrer (telles que courriel, téléphone), adresse de livraison, transport choisi, lignes des commandes clients passées, zones de texte libre

–          statut contractuel de la personne concernée, plaque d’immatriculation, zones de texte libre

–          courriel, téléphone, adresse de livraison, transport choisi, lignes des commandes clients passées, zones de texte libre

 

 

Opérations de traitement effectuées sur les données personnelles–          Enregistrement

–          Stockage

–          Accès, consultation

–          Communication par transmission

–          Effacement

–          Extraction, pour analyse sur solutions business analytique

 

Liste des sous-traitants ultérieurs au sens de la loi 25, sous réserve de modifications ultérieureshttps://generixgroup.file.force.com/servlet/fileField?id=0BE7T00000059q5

 

Coordonnées DPO/RPRP client–          Nom et fonction : [à compléter]

–          Courriel : [à compléter]

–          Téléphone : [à compléter si possible]

 

Coordonnées RPRP Generix NorAm–          Courriel : noram-rens.pers@generixgroup.com