[02] Conditions générales pour la protection et la gestion des données personnelles.

Les présentes clauses ont pour objet de définir les conditions dans lesquelles Openpaye (ci-après «le sous-traitant») s’engage à effectuer pour le compte du Client (ci-après «le responsable de traitement ou le sous-traitant initial») les opérations de traitement de données à caractère personnel définies ci-après. Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement des données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données » ou « règlement »). 

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir les services suivants : Support client, exploitation informatique et support technique. 

La nature des opérations réalisées sur les données est l’analyse des informations en vue de corriger les informations erronées, la réalisation de tâches de maintenance informatique pour assurer la disponibilité du service, et l’apport de conseils fonctionnels sur l’utilisation du logiciel. La finalité du traitement est la garantie d'un support fonctionnel et technique au responsable de traitement. 

Les données à caractère personnel traitées sont l’état civil, les données concernant la vie personnelle, les données professionnelles, les données bancaires. Les catégories de personnes concernées sont les salariés du responsable de traitement, et les salariés des clients du responsable de traitement. 

Pour l’exécution du service objet du présent contrat, le responsable de traitement met à la disposition du sous-traitant les informations nécessaires suivantes: 

a. Nom et coordonnées du représentant du responsable de traitement; 

b. Pour une demande de support: référence de dossier, éventuellement nom et prénom de la personne concernée.

a. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance; 

b. traiter les données conformément aux instructions documentées du responsable de traitement. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public; 

c. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat; 

d. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat : s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité; reçoivent la formation nécessaire en matière de protection des données à caractère personnel; 

e. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut; 

f. informer préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant ultérieur et les dates du contrat de sous-traitance. 

Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données. 

Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Lorsque les personnes concernée s'exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au DPO du responsable de traitement, ou à défaut au représentant du responsable de traitement. 

Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, par courrier électronique au DPO du responsable de traitement, ou à défaut au représentant du responsable de traitement. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes : Identifier les actifs ; Identifier les personnes responsables ; Identifier les vulnérabilités ; Identifier les menaces ; Identifier leurs impacts sur les actifs à défendre ; Évaluer la vraisemblance ou potentialité du risque ; Estimer les niveaux de risque, fonction de leur potentialité et de leur impact. Le sous-traitant est responsable de la sécurité des traitements sous-traités uniquement pour les aspects relevant de son contrôle. Le client demeure responsable de la sécurité et de la confidentialité de ses systèmes d’information et de sa politique interne d'accès au Logiciel, notamment dans la définition et l’attribution des rôles fonctionnels. Le sous-traitant n'a aucune obligation de protéger des données personnelles qui sont stockées ou transférées par le client hors du Logiciel. 

Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage, au choix des parties : 

a. à détruire toutes les données à caractère personnel ou 

b. à renvoyer toutes les données à caractère personnel au responsable de traitement ou 

c. à renvoyer les données à caractère personnel au sous-traitant désigné par le responsable de traitement. Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction. 

Le responsable de traitement s’engage à : 

a. fournir au sous-traitant les données visées au chapitre 1 des présentes clauses; 

b. documenter par écrit toute instruction concernant le traitement des données par le sous-traitant; 

c. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant; 

d. superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant et informer le sous-traitant des éventuelles actions correctives à mener pour respecter ses instructions documentées.