Contrat de traitement de données

Dropcontact

R.C.S. Bobigny N° 823 752 647
7, place de l'Hotel de Ville – 93600 Aulnay-Sous-Bois, France

Le présent document est une annexe aux Conditions générales entre le Client (ci-après le « Responsable de traitement ») et Dropcontact (ci-après le « Sous-traitant »). Chaque partie est désignée comme une « Partie » et ensemble les « Parties ». 


Aux fins des présentes, les termes et expressions portant des majuscules ont la même signification que celle qui leur est attribuée dans les Conditions Générales.

I. Objet

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer, pour le compte du Responsable de traitement, les opérations de traitement des données à caractère personnel définies ci-après. 


Dans le cadre de leurs relations contractuelles, les parties s'engagent à respecter les réglementations applicables en matière de traitement des données à caractère personnel et, en particulier, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « le Règlement Général sur la Protection des Données »).

II. Description du traitement sous-traité

Le Sous-traitant est autorisé à traiter, pour le compte du Responsable de traitement, les données à caractère personnel nécessaires pour la fourniture des services suivants : (i) nettoyer, corriger, synchroniser, enrichir, organiser et diriger les coordonnées des clients, prospects et fournisseurs du Responsable de traitement, (ii) détecter et fusionner automatiquement les doublons et (iii) mettre à jour les coordonnées des clients, prospects et fournisseurs du Responsable de traitement en ce qui concerne les e-mails erronés, notamment en synchronisant la boîte mail des collaborateurs du Responsable de traitement (ci-après ensemble les « Services »).
‍


Les catégories de personnes concernées sont les clients, prospects et fournisseurs du Responsable de traitement (ci-après les « Personnes »). 


La nature des opérations effectuées sur les données est la collecte, le traitement et le stockage des données à caractère personnel des Personnes pour la réalisation des Services.


L’objet du traitement est la réalisation des Services.


Les données à caractère personnel traitées sont les données d'identification des Personnes ainsi que les données relatives à la situation professionnelle de la Personne.
Pour l'exécution des Services visés aux présentes, le Responsable de Traitement fournira au Sous-traitant les informations nécessaires suivantes : les informations et les données d'identification des Personnes.



Dans tous les cas, aucun transfert des données ne sera effectué à aucun tiers.

III. Les obligations du Sous-traitant envers le Responsable de traitement

Le Sous-traitant s’engage à :


1. traiter les données uniquement pour la finalité faisant l’objet du présent contrat de sous-traitance ;



2. traiter les données conformément aux instructions documentées du Responsable de traitement. Les parties conviennent que toute utilisation ou paramétrage de la solution du Sous-traitant par le Responsable de traitement sera enregistrée et considérée comme une instruction documentée. Lorsque le Sous-traitant estime qu'une instruction enfreint le Règlement Général sur la Protection des Données ou toute autre disposition légale de l'Union ou des États membres relative à la protection des données, il doit en informer immédiatement le Responsable de traitement. En outre, lorsque le Sous-traitant est tenu de transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale, en vertu du droit de l'Union ou du droit des États membres auquel il est soumis, le Sous-traitant doit informer le Responsable de traitement de cette obligation légale avant de procéder au traitement, à moins que cette loi n'interdise la divulgation de telles informations pour des motifs importants d'intérêt public. Nonobstant ce qui précède, le Sous-traitant est expressément autorisé par Responsable de traitement à traiter les données afin d'améliorer la technologie et les services du Sous-traitant et de fournir lesdits services comme décrits dans la section II.
‍


3. garantir la confidentialité des données à caractère personnel traitées dans le cadre des présentes ;
‍


4. s'assurer que les personnes autorisées à traiter les données à caractère personnel en vertu des présentes :

       • se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité ;

       • reçoivent la formation nécessaire en matière de protection des données à caractère personnel.



5. prendre en considération, en ce qui concerne ses outils, produits, applications ou services, les principes de la protection des données dès la conception et de protection par défaut.



6. Contrats de sous-traitance : le Responsable de traitement reconnaît et accepte par les présentes l'engagement par le Sous-traitant des Sous-traitants ultérieurs suivants, tels que définis ci-dessous, avec des serveurs au sein de l'UE : 
       - Amazon Web Services P.O. Box 81226, dont le siège social est situé sis Burlington Plaza, Burlington Rd, Dublin 4, Irlande (serveurs en Irlande) ;
       - ONLINE (qui opère sous la dénomination commerciale Scaleway), une société française par actions simplifiée, dont le siège social est situé sis 8 rue de la ville l'Evêque - 75008 Paris, FRANCE (serveurs en France).
       - OVH une société française par actions simplifiée, dont le siège social est situé sis 2 rue Kellermann - 59100 Roubaix, FRANCE (serveurs en France).



Le Sous-traitant peut engager un autre Sous-traitant (ci-après « le Sous-traitant ultérieur ») pour effectuer des activités de traitement spécifiques. Dans ce cas, le Sous-traitant doit informer le Responsable de traitement, par écrit et au préalable, de toute modification prévue concernant l'ajout ou le remplacement d'autres Sous-traitants ultérieurs. Ces informations doivent indiquer clairement quelles activités de traitement sont sous-traitées, le nom et les coordonnées du Sous-traitant ultérieur, ainsi que les dates du contrat de sous-traitance.  Le Responsable de traitement dispose d'un délai minimum de 30 (trente) jours à compter de la date à laquelle il reçoit lesdites informations pour s'y opposer. Le contrat de sous-traitance ultérieure n'est possible que si le Responsable de traitement ne s'y est pas opposé dans le délai convenu.

Le Sous-traitant ultérieur est tenu de respecter les présentes obligations pour le compte et selon les instructions du Responsable de traitement. Il incombe au Sous-traitant de veiller à ce que le Sous-traitant ultérieur fournisse les mêmes garanties suffisantes pour la mise en œuvre des mesures techniques et organisationnelles appropriées de telle sorte que le traitement réponde aux exigences du Règlement européen sur la Protection des Données. Lorsque le Sous- traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant reste entièrement responsable vis-à-vis du Responsable de traitement de l'exécution de ses obligations par le Sous-traitant ultérieur.



7. Exercice des droits des personnes concernées : le Sous-traitant assiste le Responsable de traitement, dans la mesure du possible, pour l'exécution de son obligation de répondre aux demandes d'exercice des droits de la personne concernée : droit d'accès, de rectification, d'effacement et d'opposition, droit de limitation du traitement, droit à la portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées adressent au Sous-traitant des demandes d'exercice de leurs droits, le Sous-traitant doit transmettre ces demandes dès leur réception par e-mail au Responsable de traitement.


8. Notification de la violation des données personnelles : le Sous-traitant doit avertir le Responsable de traitement de toute violation des données à caractère personnel au plus tard 72 (soixante-douze) heures après en avoir eu connaissance et par e-mail.  Cette notification doit être envoyée avec toute la documentation nécessaire pour permettre au Responsable de traitement, le cas échéant, d’avertir l'autorité de contrôle compétente de cette violation.


9. Assistance fournie par le Sous-traitant au Responsable de traitement en ce qui concerne le respect de ses obligations : le Sous-traitant assiste le Responsable de traitement dans sa réalisation des analyses de risque sur la protection des données et en vue de la consultation préalable de l'autorité de contrôle.



10. Mesures de sécurité : le Sous-traitant s'engage à mettre en œuvre les mesures de sécurité suivantes : le Sous-traitant n'utilise que des canaux cryptés SSL/TLS (Secure Sockets Layer) pour toutes les sources à partir desquelles certaines données à caractère personnel sont collectées. Ces protocoles cryptent automatiquement toutes les informations avant qu'elles ne soient envoyées au Sous-traitant. Les données sont ainsi cryptées lors de leur circulation.
Sort des données : à la fin des Services portant sur le traitement de ces données, le Sous-traitant s'engage à détruire toutes les données à caractère personnel, au plus tard un mois après la fin des Services.


11. Registre des catégories d'activités de traitement : le Sous-traitant déclare qu'il tient un registre écrit de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable de traitement.

12. Documentation : le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer qu'il respecte toutes ses obligations et pour permettre au Responsable de traitement ou à tout autre auditeur qu'il a autorisé à effectuer des audits, y compris des inspections, et de contribuer à ces audits.



Au cours de ces audits, le Responsable de traitement ou l'auditeur qu'il a engagé à cet effet n'est pas autorisé à accéder aux secrets d’affaires, aux informations stratégiques ou à toute information que le Sous-traitant s'est engagé à garder confidentielle. Le Sous-traitant a le droit de s'opposer à toutes les inspections et/ou vérifications du Responsable de traitement ou de son auditeur qui pourraient lui permettre d'accéder à ces informations, sans que le Responsable de traitement puisse faire valoir un quelconque droit à cet égard. En tout état de cause, le Responsable de traitement devra veiller à ce que l'auditeur et, plus généralement, son personnel procédant auxdits audits, soient soumis à des obligations de confidentialité appropriées.

IV. Obligations du Responsable de traitement

1. Droit à l'information et au consentement des personnes concernées : il incombe au Responsable de traitement d'informer les personnes concernées par les opérations  de traitement au moment où les données sont collectées. Plus précisément, dans la mesure où le Responsable de traitement n'a pas connaissance (i) des personnes concernées par le traitement, (ii) du lien contractuel éventuel entre le Responsable de traitement et les personnes concernées et de l’objet du traitement des données et (iii) des paramétrages décidés et effectués par le Responsable de traitement, il incombe à celui-ci de définir la base juridique appropriée pour le traitement et, le cas échéant, d'obtenir le consentement des Personnes en ce qui concerne le traitement.


2. Synchronisation de la boîte mail des collaborateurs : il incombe au Responsable de traitement :

       - d'informer ses collaborateurs de que le Sous-traitant demandera à accéder à leur boîte mail afin de synchroniser les données des personnes concernées (via Google Connect).
       
- de décider si l'acceptation de cette synchronisation est obligatoire ou non.

L’utilisation et le transfert des informations collectées depuis les API de Google réalisés par le Sous-traitant sont en conformité avec la Google API Services User Data Policy et notamment les Limited Use requirements.

3. Autres obligations du Responsable de traitement : le Responsable de traitement s'engage en outre à :
   
3.1 fournir au Sous-traitant les données mentionnées au point II du présent document ;


   3.2 consigner par écrit toute instruction relative au traitement des données par le Sous-traitant. Plus précisément, le Sous-traitant a développé une solution en tenant compte des principes de protection de la vie privée dès la conception et par défaut, qui est par défaut la moins intrusive. D'autres paramétrages peuvent être ajoutés par le Responsable de traitement : c’est à lui qu’il incombe de définir l'utilisation prévue et les paramétrages correspondants de la solution. Comme dans la situation précédemment indiquée, tout paramétrage effectué par le Responsable de traitement est considéré comme une instruction de celui-ci au Sous-traitant ;


   3.3 veiller, avant et pendant le traitement, au respect des obligations du Responsable de traitement prévues par le Règlement européen sur la Protection des Données ;


   3.4 superviser le traitement, notamment en effectuant des audits et des inspections avec le Sous-traitant.

Date de mise à jour : 21 décembre 2022

Let's Get Started !

Ne perdez plus 1 minute sur vos données CRM !