Annexe : Protection des données à caractère personnel

Préambule
I. GENERIX agissant en qualité de responsable de traitement

GENERIX (ci-après appelé le « Prestataire ») peut être amenée à traiter des données à caractère personnel relatives aux personnes physiques désignées par le Client pour collaborer avec le Prestataire dans le cadre de la gestion du projet (ces derniers étant appelés ci-après « Interlocuteurs »).

Le Prestataire traitera les données personnelles des Interlocuteurs en tant que responsable de traitement aux fins d’assurer la gestion de la relation commerciale et administrative du compte Client, sur les fondements de l’exécution du contrat et/ou de la satisfaction de son intérêt légitime. Ces données seront conservées pendant toute la durée nécessaire à l’exécution des finalités précitées. Le Prestataire peut être amené à partager certaines de ces données avec ses prestataires de services.

De son côté, le Client garantit au Prestataire avoir fourni aux Interlocuteurs l’information requise par la réglementation sur les données personnelles et avoir, quand cela est nécessaire en application de ladite règlementation, obtenu leur consentement à ce traitement.

Le Client adressera, dans les plus brefs délais, les éventuelles demandes des personnes concernées s’agissant des données personnelles traitées par le Prestataire en sa qualité de responsable de traitement.

II. GENERIX agissant en qualité de sous-traitant

Le Prestataire sera aussi amené à traiter des données à caractère personnel dans le cadre de l’exécution du Contrat. Ces données seront alors traitées par le Prestataire en qualité de sous-traitant de données personnelles du Client, dans les conditions définies ci-après.

1. Définitions

Dans le présent contrat, les mots ou expressions commençant avec une majuscule auront la signification suivante :

« Contrat » désigne le contrat conclu avec le Prestataire dans le cadre duquel s’inscrit la présente annexe.
« Données à caractère personnelles ou DCP » désigne toute information relative à une personne physique identifiée ou qui peut être identifiée (ci-après « Personne Concernée »), directement ou indirectement, notamment par référence à un numéro d’identification, une donnée de localisation, des identifiants en ligne (par exemple, pseudo et mot de passe) ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;
« Règlementation » : désigne l’ensemble des lois et règlements applicables dans l’Union Européenne en matière de DCP, y compris la loi dite « Informatique et Libertés » n°78-17 du 6 janvier 1978 modifiée en 2004 et le Règlement Général sur la Protection des Données Personnelles 2016/679 en date du 27 avril 2016 dès son entrée en application.
« Prestations » signifie l’ensemble des prestations réalisées par le Prestataire pour le Client et telles que visées dans le Contrat ;
« Responsable de Traitement » désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Dans le cadre du Contrat et de la présente annexe, le Responsable de Traitement est le Client.
« Sous-traitant » désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des DCP pour le compte du Responsable de Traitement, et conformément à ses instructions. Dans le cadre du Contrat et de la présente annexe, le Sous-traitant est le Prestataire, soit GENERIX.
« Traitement » : désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Les termes et expressions « Violation de DCP », « Traiter », « Personne concernée », « Etat membre », « Autorité de contrôle », « Clauses types », ont le même sens que celui qui leur est donné dans la Réglementation, et les expressions voisines doivent être interprétées de la même manière.

2. Obligations générales du Client

Le Client s’engage à respecter la Réglementation dans le cadre du Contrat.

GENERIX, en sa qualité de Sous-Traitant, ne traitera des Données à caractère personnel que sur instructions documentées du Client, telles que figurant en Appendice A, et exclusivement pour accomplir les prestations confiées au titre du Contrat.

Les instructions du Client portant sur les Traitements sont décrites dans l’Appendice A de la présente annexe. Le Client s’engage à renseigner l’Appendice A de la présente annexe à la signature du Contrat et au plus tard dans les quatre semaines suivant la signature du Contrat.

Si le Client utilise les services objet du Contrat pour traiter d’autres données ou catégories de Données à caractère personnel ou pour d’autres Traitements que ceux décrits dans l’Appendice A, le Client le fait à ses risques et périls et GENERIX ne peut être tenu pour responsable en cas de manquement à la Réglementation.

Le Client, en sa qualité de Responsable de Traitement s’engage à alerter sans délai GENERIX en cas d’évolution des services demandés, entraînant ou risquant d’entraîner un changement potentiel du statut sous-traitant de GENERIX au regard de la Réglementation.

Le Client reconnait que les engagements de GENERIX dans le cadre de la présente annexe constituent des garanties suffisantes de la conformité de GENERIX à la Réglementation.

Le Client reconnait que GENERIX se limite à suivre les instructions documentées du Client, sous réserve d’informer le Client en cas d’instructions données non conformes à la Réglementation. Toute demande du Client excédant ou modifiant les instructions de traitement figurant en Appendice A font l’objet d’un devis séparé. Toute instruction non documentée par écrit ou non conforme à la Réglementation n’est pas prise en compte.

Le Client tient un registre de toutes les opérations de traitement qu’il effectue en qualité de Responsable de Traitement. Ce registre contient au moins les informations obligatoires requises par la Réglementation.

Il appartient au Client de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des DCP. Au choix du Responsable de traitement, GENERIX assistera le Client dans la mise en œuvre de cette obligation d’information. Dans cette dernière hypothèse, les modalités d’assistance demandée par le Client seront convenues d’un commun accord entre le Client et GENERIX.

3. Obligations de GENERIX vis-à-vis du Client

Agir sur instructions documentées du Responsable de Traitement

GENERIX s’engage à traiter les Données à caractère personnel objet de la présente annexe, conformément aux instructions listées en Appendice A, à moins que GENERIX ne soit tenu de traiter les DCP en vertu d’une disposition impérative résultant du droit communautaire ou du droit de l’Etat Membre auquel il est soumis. Dans ce cas, GENERIX en informera le Client dans les meilleurs délais, et si possible avant le Traitement.

Si GENERIX considère qu’une instruction constitue une violation de la Réglementation, GENERIX s’engage à en informer le Client.

Garantir la confidentialité des DCP

GENERIX s’engage à garantir la confidentialité des Données à caractère personnel traitées dans le cadre de la présente Annexe.

GENERIX s’engage à veiller à ce que les personnes autorisées à traiter les Données à caractère personnel en vertu des présentes :

S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
Reçoivent la sensibilisation nécessaire en matière de protection des Données à caractère personnel.

Sous-Traitance

GENERIX peut faire appel à un autre sous-traitant (« Sous-Traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le Client. Le Client dispose d’un délai maximum de cinq (5) jours calendaires à compter de la date de réception de cette information pour présenter ses réserves.

Il appartient à GENERIX de s’assurer que le Sous-Traitant ultérieur présente les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences de la Règlementation.

Droits des personnes

Dans la mesure du possible, GENERIX aidera le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées au titre de la Règlementation à savoir : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des DCP, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage au sens de la Réglementation).

Lorsque les personnes concernées exercent auprès de GENERIX des demandes d’exercice de leurs droits, GENERIX adressera ces demandes par courrier électronique à la personne désignée par le Responsable de traitement en Appendice A ou communiqué par tout autre moyen. GENERIX ne pourra répondre directement à la demande d’une personne concernée que sur instruction documentée du Responsable de traitement.

Le Client reconnait que les diligences précitées satisfont à l’obligation de coopération et d’assistance de GENERIX à l’égard du Client pour lui permettre d’assurer la conformité du Traitement à la Réglementation. En cas de nécessité de mettre en œuvre des diligences additionnelles, les Parties conviennent de se réunir et discuter de bonne foi des conditions de ces diligences additionnelles, qui feront l’objet d’un avenant aux présentes.

Notification des violations de Données à caractère personnel

Une violation de Données à caractère personnel s’entend de toute violation de la sécurité entraînante, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de DCP transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles DCP.

GENERIX notifie au Client toute violation de Données à caractère personnel dans les meilleurs délais après en avoir pris connaissance et conformément à la procédure définie par le Responsable de Traitement en Appendice A, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

Analyses d’impact

GENERIX aide le Responsable de Traitement pour la réalisation d’analyses d’impact relatives à la protection des Données que le Responsable de Traitement déciderait d’effectuer.

4. Obligation en matière de sécurité et de confidentialité

GENERIX s’engage à mettre en œuvre l’ensemble des mesures d’ordre technique et organisationnel appropriées et à prendre toutes précautions utiles pour garantir un niveau de sécurité adapté au risque existant.

GENERIX s’engage à prendre toutes précautions utiles au regard de la nature des Données et des risques par le Traitement, pour préserver la sécurité des Données et empêcher toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation, et/ou tout accès par des tiers non autorisés préalablement.

Les mesures prises par GENERIX doivent tenir compte des possibilités techniques les plus récentes et du coût de leur mise en œuvre, des caractéristiques du traitement (nature, portée, finalité etc.) ainsi que des risques présentés pour les droits des Personnes Concernées. Il peut notamment s’agir :

de mesures de chiffrement des données ;
de mesures permettant de s’assurer, pendant la mise en œuvre du traitement, de la confidentialité, de l’intégrité, de la disponibilité et de la résistance des systèmes et services traitant les données ;
de mesures permettant de restaurer l’accès et la disponibilité des données dans les plus brefs délais en cas d’incident matériel ou technique ;
de procédures destinées à évaluer et tester l’effectivité des mesures techniques et organisationnelles.

5. Retour ou suppression des Données Personnelles

Au terme du Contrat, GENERIX doit, au choix du Client, soit retourner l’ensemble des Données Personnelles traitées, soit les supprimer et certifier au Client par écrit que la suppression a bien été réalisée sous réserve et dans la limite des obligations légales et réglementaires de conservation s’imposant au Prestataire.

6. Audit

Le Client pourra, s’il le souhaite, dans la limite d’une (1) fois par an, réaliser, à ses frais, un audit au sein des locaux de GENERIX, directement ou par l’intermédiaire de tout tiers indépendant, non concurrent de GENERIX, afin de s'assurer du respect des mesures de protection des DCP.

Dans l’hypothèse où le Client souhaiterait faire appel à un tiers pour la réalisation de l’audit, ce dernier s’engage expressément à faire signer audit tiers un accord de confidentialité et à se porter fort du respect de ses termes.

Le Client communiquera à GENERIX avec un préavis d’au moins quarante (45) jours calendaires, toute demande d’opération d’audit, la date de l’audit ainsi que le nom de l’éventuel tiers en charge de l’audit. GENERIX ne pourra refuser sans motif légitime les personnes désignées pour réaliser l’audit. En cas de refus, GENERIX devra le notifier sous un délai de huit (8) jours calendaires suivant la notification de l’audit faite par le Client ou par un cabinet d’audit en charge de le réaliser (l’Auditeur) dans les conditions définies par le présent Contrat.

GENERIX collaborera de bonne foi avec l’Auditeur et lui communiquera toutes informations ou documents ou explications nécessaires à la réalisation de l’audit. Les procédures d’accès seront communiquées par GENERIX au Client qui devra les respecter. Les connexions logiques pour accéder aux données Client seront réalisées par GENERIX à la demande de l’Auditeur et, lorsque cela est nécessaire, en présence de l’Auditeur.

GENERIX prendra à sa charge le temps passé par son personnel pour les besoins de l’audit dans la limite d’un (1) jour par an. Le rapport d'audit sera adressé gratuitement à GENERIX par les auditeurs ou par le Client, de telle sorte que celui-ci puisse formuler, dans un délai de vingt (20) jours ouvrés suivant la date de sa communication, toutes observations ou objections par lettre recommandée avec accusé de réception adressée à l’auditeur et au Client.

Ce rapport d’audit est confidentiel selon les conditions de l’Article « Confidentialité" du Contrat.

Au cas où le rapport d’audit ferait apparaître un manquement à une obligation essentielle en matière de DCP, directement et exclusivement imputable à GENERIX, GENERIX, ce dernier s'engage expressément à mettre en œuvre à ses frais toutes les mesures correctives nécessaires.