webleads-tracker

Charte de protection des Données Personnelles

Charte de protection des Données Personnelles

Soucieuse de la satisfaction de ses clients, Global Partner s’engage à assurer le meilleur niveau de protection de leurs données personnelles en conformité avec le RGPD.

 

Coordonnées du responsable de traitement

La SAS Global Partner (ci-après : « Global Partner ») dont le siège social est établi 38 rue des Mathurins et inscrite au répertoire SIRENE sous le numéro 525379426 est responsable du traitement des données à caractère personnel (ci-après, « données ») que vous nous fournissez directement sur notre site : global-partner.fr ou dans le cadre de Contrat de service.

 

I. Préambule

(A)   Par le Contrat de vente (ci-après le « Contrat »), Global Partner et son Client ont convenu des conditions et modalités selon lesquelles le Prestataire s’est engagé à fournir au Client des services (ci-après les « Services »).

(B)   Dans le cadre de l’exécution du Contrat, Global Partner peut être amené à traiter des Données à Caractère Personnel (ci-après les « Données Personnelles »). Les Données Personnelles peuvent concerner les collaborateurs, les prestataires et le personnel du Client (ci-après les « Données Personnelles du Client ») ou les Données Personnelles de tiers, traitées par le Client dans le cadre de ses activités (ci-après les « Données Personnelles de Tiers »).

(C)    Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au Traitement de Données Personnelles et, en particulier, le Règlement Général sur la Protection des Données Personnelles (ci-après le « RGPD »).

 

II.  Définitions

Les termes ci-dessous définis auront entre Global Partner et son Client la signification donnée par l’article 4 du RGPD, à savoir :

Données Personnelles : toute information relative à une personne physique identifiée ou qui peut être identifiée, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « Personne Concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des Données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Personne Concernée : personne à laquelle se rapportent les Données qui font l’objet d’un Traitement.

RGPD : vise le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du Traitement des Données Personnelles et à la libre circulation de ces Données, et abrogeant la directive 95/46/CE.

Responsable de traitement : désigne la personne physique ou morale, l’autorité publique, le service ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement de Données Personnelles. En l’espèce, il s’agit du Client

Sous-Traitant : désigne l’entité qui agit pour le compte du Responsable de Traitement.

Traitement de Données Personnelles : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données Personnelles, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou tout autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Violation de Données Personnelles : toute Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée et Données Personnelles transmises, ou l’accès non autorisé à ces Données.

 

III. Traitement(s) faisant l’objet de sous-traitance

Le Sous-Traitant est autorisé à traiter pour le compte du Responsable de Traitement les Données Personnelles nécessaires pour fournir les services selon le Contrat. Ces services peuvent notamment être :

  • Fourniture et maintenance de systèmes d’impression et de solutions logicielles associées
  • Fourniture et maintenance de solution de Gestion Électronique de Documents
  • Fourniture et maintenance d’accès internet
  • Fourniture et maintenance de services de téléphonie fixe
  • Fourniture et maintenance de services de téléphonie mobile
  • Fourniture et maintenance de solution de sauvegarde de Données
  • Fourniture et maintenance de solution de visioconférence
  • Fourniture et maintenance d’infrastructure réseau

Les traitements effectués par le Sous-Traitant pour le compte du Client font l’objet d’instructions de la part du Client ou sont requis par le Client dans le cadre de l’exécution du Contrat.

La nature des opérations réalisées sur les Données Personnelles est la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la mise à disposition aux destinataires des Données Personnelles, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

La ou les finalité(s) du Traitement sont :

  • L’exécution des prestations objets du Contrat (livraison, installation, connexion, configuration, maintenance, supervision à distance, hébergement, formation, assistance utilisateurs, information des utilisateurs).

Les catégories de Personnes Concernées comprennent,

  • en ce qui concerne les Données Personnelles du Client : les collaborateurs du Client, ses prestataires, son personnel et, plus généralement, toute personne à qui le Client met à disposition un des Services fourni par Global Partner au Client ;
  • en ce qui concerne les Données Personnelles de Tiers : toute personne concernée dont le Client traite les données dans le cadre de ses services. Global Partner ne connaît généralement pas a priori les catégories de personne concernée par les Données Personnelles de Tiers.

Les catégories de Données Personnelles traitées comprennent,

  • ce qui concerne les Données Personnelles de Tiers : tout type de données de tiers que le Client traite. Global Partner ne connaît généralement pas a priori les catégories de Données Personnelles de Tiers ;
  • en ce qui concerne les Données Personnelles du Client : nom, prénom, fonction, supérieur hiérarchique, numéro de téléphone professionnel, adresse de courriel professionnelle, adresses IP de connexion (horodatées), identifiant (login) utilisateur, mot de passe sous forme cryptée ou sous forme de condensat, historique d’usage, numéro et copie de pièce d’identité, date et lieu de naissance, adresse postale, pouvoir.

La durée de conservation des Données Personnelles est déterminée ainsi :

  • Les Données Personnelles du Client sont conservées pendant toute la durée du contrat, sauf les données Personnelles concernant des personnes dont l’accès aux Services a été résilié, soit qu’elles ne fassent plus partie du personnel, des collaborateurs ou des prestataires du Client, soit que leur accès aux Services ait été révoqué par le Client. Les Données Personnelles concernant les personnes qui n’ont plus accès aux Services sont conservées par Global Partner pendant 3 mois après que leur accès a été révoqué. Le Client peut demander à ce que les Données Personnelles concernant les personnes qui n’ont plus accès aux Services soient conservées plus longtemps ou moins longtemps, voire soient effacées.

Les Données Personnelles de Tiers sont sous l’entier contrôle du Client, qui en détermine seul les durées de conservation.

 

IV.  Traitement(s) mis en œuvre par Global Partner en tant que responsable de traitement

En tant que responsable des traitements destinés à la commercialisation des services qu’il propose, Global Partner a accompli l’ensemble des formalités administratives nécessaires auprès des autorités compétentes. De manière générale, Global Partner respecte l’ensemble des lois et règlements relatifs à la protection des données à caractère personnel en vigueur dans les pays où elle exerce ses activités, incluant notamment mais non limitativement :

  • la directive européenne n°95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du Traitement des Données à Caractère Personnel et à la libre circulation de ces données ;
  • à compter du 25 mai 2018, le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du Traitement des Données à Caractère Personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, souvent appelé RGPD) ;
  • la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et ses évolutions. Global Partner a déposé plusieurs déclarations à la CNIL, dont une, enregistrée sous le n° 2101007.

La ou les finalité(s) des Traitements sont :

  • La gestion des relations contractuelles et commerciales entre Global Partner et ses clients (enquêtes de satisfaction, réclamations, envoi de communications commerciales telles que la newsletter mensuelle ou d’offres spéciales, facturation, etc.)
  • La prospection et la fidélisation des clients, existants ou potentiels.
  • Les études, analyses et statistiques destinées à améliorer et à optimiser les services que Global Partner met à disposition de ses clients.
  • La prévention des fraudes.
  • Le succès commercial des offres que Global Partner propose à ses clients.

Les catégories de Personnes Concernées comprennent : les collaborateurs du Client qui sont en relation commerciale avec le Prestataire, les prospects, les personnes qui demandent des devis ou des informations, ainsi que les collaborateurs du Client, ses prestataires, son personnel et, plus généralement, toute personne à qui le Client met à disposition un des Services fourni par Global Partner au Client.

Les catégories de Données Personnelles traitées comprennent : nom, prénom, fonction, société d’appartenance, numéro de téléphone (généralement professionnel), adresse de courriel (généralement) professionnelle, adresses IP de connexion aux sites web (horodatée), historique de navigation, adresse postale.

La durée de conservation des Données Personnelles est déterminée ainsi, la plus longue durée étant prise en compte si plusieurs critères s’appliquent :

  • Les Données Personnelles des collaborateurs du Client qui sont en relation commerciale avec Global Partner sont conservées durant la période de conservation légale pour satisfaire aux exigences réglementaires, notamment comptables et fiscales.
  • Les Données Personnelles du Client sont conservées pendant toute la durée du contrat, sauf les données Personnelles concernant des personnes dont l’accès aux Services a été résilié, soit qu’elles ne fassent plus partie du personnel, des collaborateurs ou des prestataires du Client, soit que leur accès aux Services ait été révoqué par le Client. Les Données Personnelles concernant les personnes qui n’ont plus accès aux Services sont conservées par Global Partner pendant 3 mois après que leur accès a été révoqué. Le Client peut demander à ce que les Données Personnelles concernant les personnes qui n’ont plus accès aux Services soient conservées plus longtemps ou moins longtemps, voire soient effacées.

 

V. Les Données Personnelles des prospects et des personnes qui demandent des devis ou des informations sont conservées pendant un maximum de 3 ans après le dernier contact effectif avec la Personne Concernée. Ouvrir un courriel n’est pas considéré être un contact effectif.

 

VI. Durée de l’Avenant

Le présent avenant entre en vigueur à compter de sa date de signature par les deux Parties pour toute la durée des Contrats.

 

VII. Obligations du Prestataire vis-à-vis du Client

Le Sous-Traitant s’engage à :

Finalités

Traiter les Données Personnelles uniquement pour la ou les seule(s) finalité(s)décrites ci-dessus.

Conformité

Traiter les Données Personnelles de Tiers conformément aux instructions documentées du Client Responsable de Traitement et uniquement dans le cadre desdites instructions. Si le Sous-Traitant considère qu’une instruction constitue une Violation du règlement européen sur la protection des Données ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des Données, il en informe immédiatement le Responsable de Traitement. En outre, si le Sous-Traitant est tenu de procéder à un transfert de Données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le Responsable du Traitement de cette obligation juridique avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public. Les dispositions du Contrat impliquant le Traitement de Données Personnelles sont réputées être des instructions documentées du Client.

Confidentialité

Garantir la confidentialité des Données Personnelles traitées dans le cadre du Contrat

Veiller à ce que les personnes autorisées à traiter les Données Personnelles en vertu du Contrat :

  • s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
  • reçoivent la formation nécessaire en matière de protection des Données Personnelles

Privacy by Design

Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des Données dès la conception et de protection des Données par défaut

Sous-traitance, dont sous-traitance ultérieure

Du fait des spécificités de l’activité du Prestataire, ce dernier peut, le cas échéant, avoir recours à des Sous-Traitants, des prestataires ou des fournisseurs (ci-après les « Sous-Traitants Ultérieurs »), pour l’exécution du Contrat, en ce compris les opérateurs télécom, les constructeurs bureautique, les éditeurs de solutions logicielles, les hébergeurs, les transporteurs, les organismes de leasing et plus généralement, tout prestataire permettant l’exécution efficace des dispositions du Contrat.

Par suite, la signature des présentes par le Client vaut consentement audit recours et au partage des Données Personnelles du Client ou, le cas échéant, des Données Personnelles de Tiers avec lesdits Sous-Traitants Ultérieurs, prestataires et fournisseurs dans le strict respect de la législation applicable et à la seule fin de permettre l’exécution des Services objets du Contrat.

Lesdits Sous-Traitant Ultérieurs, prestataires et fournisseurs sont tenus de respecter les obligations du présent Contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au Prestataire de s’assurer que lesdits Sous-Traitants Ultérieurs, prestataires et fournisseurs présentent les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que l’intégralité des Traitements réponde aux exigences du RGPD. Si un Sous-Traitant Ultérieur, un prestataire ou un fournisseur ne remplit pas ses obligations en matière de protection des Données Personnelles, le Sous-Traitant Initial demeure pleinement responsable devant le Client de l’exécution dudit Sous-Traitant Ultérieur, prestataire ou fournisseur de ses obligations.

Droit d’information des Personnes Concernées

Il appartient au Responsable de Traitement de fournir l’information aux Personnes Concernées par les opérations de Traitement au moment de la collecte des Données conformément aux articles 13 et 14 du RGPD.

Global Partner agissant en tant que Sous-Traitant pour le compte du Client en lui fournissant les Services, le Client s’engage à informer de cette relation de sous-traitance, le cas échéant, les Personnes Concernées dont les Données Personnelles sont traitées dans le cadre de la fourniture des Services objets du Contrat.

Exercice des droits des personnes

a. Dans le cadre de la relation de Sous-Traitance

Dans la mesure du possible, le Sous-Traitant doit aider le Responsable de Traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Personnes Concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du Traitement, droit à la portabilité des Données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les Personnes Concernées exercent auprès du Sous-Traitant des demandes d’exercice de leurs droits, le Sous-Traitant doit adresser ces demandes dès réception par courrier au contact indiqué au sein du Responsable de Traitement.

En cas de modification d’adresse destinée à l’exercice des droits de Personnes Concernées, le Responsable de Traitement s’engage à communiquer au Sous-Traitant la nouvelle adresse.

b. Dans le cadre des traitements mis en œuvre par Global Partner en tant que Responsable de Traitement

Les Personnes Concernées peuvent demander à exercer leurs droits, notamment d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du Traitement, droit à la portabilité des Données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage) en envoyant une demande détaillée par courriel à dpo@global-partner.fr.

Notification des Violations de Données Personnelles

a. Dans le cadre de la relation de Sous-Traitance

Le Sous-Traitant notifie au Responsable de Traitement toute Violation de Données Personnelles dans les meilleurs délais après en avoir pris connaissance et par courrier électronique au contact indiqué au sein du Responsable de Traitement. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette Violation à l’autorité de contrôle compétente ainsi qu’aux Personnes Concernées, le cas échéant.

Après accord du Responsable de Traitement, le Sous-Traitant communique, au nom et pour le compte du Responsable de Traitement, la Violation de Données Personnelles à la Personne Concernée dans les meilleurs délais, lorsque cette Violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.

b. Dans le cadre des traitements mis en œuvre par Global Partner en tant que Responsable de Traitement

Global Partner notifie toute Violation de Données Personnelles dans les meilleurs délais après en avoir pris connaissance aux Personnes Concernées et, si cela est requis, à l’autorité de contrôle.

c. Contenu des notifications et communications

Les notifications mentionnées ci-dessus contiennent au moins :

  • la description de la nature de la Violation de Données Personnelles y compris, si possible, les catégories et le nombre approximatif de Personnes Concernées par la Violation et les catégories et le nombre approximatif d’enregistrements de Données Personnelles concernés ;
  • le nom et les coordonnées du délégué à la protection des Données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • la description des conséquences probables de la Violation de Données Personnelles ;
  • la description des mesures prises ou que le Prestataire propose de prendre pour remédier à la Violation de Données Personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

Les communications aux Personnes Concernées mentionnées ci-dessus décrivent, en des termes clairs et simples, la nature de la Violation de Données Personnelles et contiennent au moins :

  • la description de la nature de la Violation de Données Personnelles ;
  • le nom et les coordonnées du délégué à la protection des Données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • la description des conséquences probables de la Violation de Données Personnelles;
  • la description des mesures prises par le Client et par le Prestataire, ou que ces derniers proposent de prendre pour remédier à la Violation de Données Personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Collaboration et audit

Pendant toute la durée du Contrat, le Client aura la faculté de réaliser, à ses frais, directement ou par l’intermédiaire d’un tiers indépendant – sous réserve d’un préavis de quinze (15) jours ouvrés – des tests et audits de tout ou partie des Traitements des Données Personnelles du Client ou des Données Personnelles de Tiers, et ce, pendant une durée raisonnable.

S’il s’avère que les mesures de sécurité mises en œuvre par le Sous-Traitant ne sont pas appropriées ou suffisantes, ou si ces audits ou tests révèlent certaines lacunes ou non-conformités aux exigences énoncées dans le Contrat, aux exigences légales applicables au Sous-Traitant ou au Client, le Sous-Traitant mettra en place des actions correctives dans des délais à convenir entre les Parties, en fonction de la gravité du manquement constaté.

Le Sous-Traitant met à la disposition du Responsable de Traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le Responsable du Traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Mesures de sécurité

Le Prestataire s’engage à mettre en œuvre, en fonction du niveau de risque, les mesures de sécurité suivantes :

  • la pseudonymisation et le chiffrement des Données Personnelles ;
  • les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de Traitement ;
  • les moyens permettant de rétablir la disponibilité des Données Personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du Traitement]

Sort des Données dans le cadre de la relation de Sous-Traitance

Au terme de la prestation de services relatifs au Traitement de ces Données, le Sous-Traitant s’engage à :

Au choix des Parties :

  • détruire toutes les Données Personnelles ou
  • à renvoyer toutes les Données Personnelles au Responsable de Traitement ou
  • à renvoyer les Données Personnelles à l’organisation désignée par le Responsable de Traitement

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du Sous-Traitant. Une fois détruites, le Sous-Traitant doit justifier par écrit de la destruction.

Délégué à la protection des Données

Le Sous-Traitant communique au Responsable de Traitement le nom et les coordonnées de son délégué à la protection des Données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des Données, ou de toute personne ou service à même de répondre aux demandes relatives à la législation applicable en matière de Données Personnelles.

Le Client, peut, en tout état de cause, formuler ses demandes relatives à la Législation Applicable en contactant l’adresse suivante : dpo@global-partner.fr

Par la même occasion, le Client s’engage, le cas échéant, à fournir le nom et les coordonnées de son délégué à la protection des Données ou de toute personne ou service à même de répondre aux demandes relatives à la Législation Applicable afin d’assurer le bon respect des obligations du Prestataire dans le cadre de son activité de Traitement, conformément à la définition présente au sein de la Législation Applicable.

Registre des catégories d’activités de Traitement

Le Sous-Traitant déclare être en capacité de produire à tout moment un registre de toutes les catégories d’activités de Traitement effectuées pour le compte du Responsable de Traitement comprenant :

  • le nom et les coordonnées du Responsable de Traitement pour le compte duquel il agit, des éventuels Sous-Traitants et destinataires des Données Personnelles et, le cas échéant, du délégué à la protection des Données ;
  • les catégories de Traitements effectués pour le compte du Responsable du Traitement ;
  • le cas échéant, les transferts de Données Personnelles vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des Données, les documents attestant de l’existence de garanties appropriées ;

Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :

  • la pseudonymisation et le chiffrement des Données Personnelles ;
  • des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de Traitement ;
  • des moyens permettant de rétablir la disponibilité des Données Personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du Traitement.

 

VIII. Obligations du Responsable de Traitement vis-à-vis du Sous-Traitant

Information des personnes concernées

Le Responsable de Traitement s’engage à informer les personnes concernées du fait que les données personnelles les concernant qui sont contenues dans des documents peuvent faire l’objet de traitements sous-traitées au Prestataire, aux fins de l’exécution des Services.

Licéité

Le Responsable de Traitement s’engage, lorsque sont collectées et traitées des Données Personnelles de Tiers, à le faire uniquement de façon licite, c’est-à-dire lorsque :

  1. le Traitement est nécessaire à l’exécution d’un contrat auquel la Personne Concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci (vente, prestation, commande, devis…)
  2. la Personne Concernée a consenti au Traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, et ce consentement a été recueilli dans les termes et selon les obligations du RGPD, en particulier après avoir reçu une information claire sur les finalités et de façon positive (pas de case de consentement pré-cochée par exemple)
  3. le Traitement est nécessaire au respect d’une obligation légale à laquelle le Client Responsable du Traitement est soumis ;
  4. le Traitement est nécessaire à la sauvegarde des intérêts vitaux de la Personne Concernée ou d’une autre personne physique ;
  5. le Traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le Client Responsable du Traitement ;
  6. le Traitement est nécessaire aux fins des intérêts légitimes poursuivis par le Client Responsable du Traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la Personne Concernée qui exigent une protection des données à caractère personnel, notamment lorsque la Personne Concernée est un enfant.

Données Sensibles

Lorsque sont traitées des Données Personnelles de Tiers contenant potentiellement des données sensibles au sens du RGPD, le Client Responsable de Traitement s’engage à le faire de façon licite, c’est-à-dire dans un des cas prévu par le RGPD et qui sont rappelés ci-dessous. Dans ce cas, le Client Responsable de Traitement s’engage à effectuer s’il le juge nécessaire, une analyse d’impact et à prendre en charge les éventuelles mesures correctives qui devront être mise en place suite à ladite analyse d’impact.

Plus généralement, le Responsable du Traitement s’engage à assumer l’entière responsabilité relative au fait de confier au Prestataire tout traitement de données sensibles au sens du RGPD.

Le RGPD considère comme des données sensibles les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Les numéros d’identification nationaux (numéros NIR ou INSEE en France) sont aussi considérés comme des données sensibles, ainsi que les données relatives aux condamnations pénales et aux infractions.

Le traitement de telles données n’est possible que dans les cas suivants :

  1. la Personne Concernée a donné son consentement explicite au Traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que ce consentement ne peut pas être donné par la personne concernée ;
  2. le Traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au Responsable du Traitement ou à la Personne Concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la Personne Concernée ;
  3. le Traitement est nécessaire à la sauvegarde des intérêts vitaux de la Personne Concernée ou d’une autre personne physique, dans le cas où la Personne Concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
  4. le Traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit Traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ;
  5. le Traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la Personne Concernée;
  6. le Traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
  7. le Traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la Personne Concernée ;
  8. le Traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées ci-dessous ;
  9. le Traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la Personne Concernée, notamment le secret professionnel;
  10. le Traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la Personne Concernée.

 

Qui plus est, les données sensibles peuvent faire l’objet d’un traitement aux fins prévues au point 8 ci-dessus, si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents.

Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.

Respects des obligations du RGPD

Le Client Responsable de Traitement s’engage à respecter les obligations du RGPD et à veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du Sous-Traitant.

En particulier, le Client Responsable de Traitement s’engage, s’il y est obligé ou si cela est fortement recommandé, à tenir un registre des traitements mentionnant notamment, en ce qui concerne les traitements qu’il effectue ou qui sont effectués pour son compte sur des données à caractère personnel : les finalités des traitements, les catégories de données à caractère personnel, les catégories de personne concernée et la durée de conservation des données à caractère personnel.

Supervision

Le Client Responsable de Traitement s’engage à superviser le traitement, y compris, si cela s’avère approprié, réaliser des audits et des inspections auprès du Prestataire Sous-Traitant. Dans le cas ou de tels audits et inspections seraient réalisés, le Client Responsable de Traitement s’engage à mettre à disposition du Prestataire Sous-Traitant les résultats desdits audits et inspection et à permettre au Prestataire Sous-Traitant de les transmettre à ses clients et prospects ou de les rendre publics.

Instructions données au Prestataire Sous-Traitant
Le Client Responsable de Traitement s’engage à documenter par écrit toute instruction concernant le traitement des données par Global Partner Sous-Traitant, notamment lorsque le Traitement implique que Global Partner Sous-Traitant puisse accéder à des Données Personnelles de Tiers (par exemple dans les cas où Global Partner Sous-Traitant peut accéder aux Données Personnelles de Tiers dans le cadre de l’exécution de Traitements aux fins de maintenance, d’assistance, de correction d’erreurs, etc.)

 

IX. Obligations communes aux Parties

Les Parties s’engagent individuellement et mutuellement à se conformer au texte du RGPD disponible sur le site de la commission européenne, et à toute réglementation nationale applicable qui porterait sur les traitements de données à caractère personnel. Ces réglementations feront foi dans le présent Contrat et compléteront ou prévaudront le cas échéant sur toutes les dispositions du présent Contrat.

X. Application de la présente Charte

a.        En cas de contradiction entre une stipulation du Contrat et une stipulation de la Charte, les termes de la Charte seront considérés comme exprimant par priorité la volonté des Parties.

b.       La Charte fait partie intégrante du Contrat conclu entre Global Partner et son Client.

c.        L’ensemble des clauses du Contrat et annexes qui ne sont pas expressément modifiées par la Charte restent valides et continuent à s’appliquer dans les mêmes termes et conditions que ceux prévus par ledit Contrat.

XI. Date d’entrée en vigueur

La présente Charte a été créée et est entrée en vigueur le 04 mars 2019. Nous nous réservons le droit, à notre entière appréciation, de changer, modifier, ajouter ou supprimer à tout moment des parties de la présente Charte. Nous vous en tiendrons informés soit par mail, soit par une mention sur notre site internet.

Le Fil Infos

image_blog
27
Avr
Sauvegarde externe : méthode et avantages pour les PME
  • by GlobalPartner
  • |
  • 0 Commentaires

La sauvegarde externe est la première ligne de défense en cas de sinistre : vous redémarrez rapidement votre activité en restaurant vos fichiers répliqués à distan

Lire la suite
image_blog
01
Juin
Routeur firewall : bien choisir pour votre TPE ou PME
  • by GlobalPartner
  • |
  • 0 Commentaires

Notre expert fait le point sur les différents éléments à prendre en compte et le top 4 des meilleurs routeurs firewall pour les TPE/PME.

Lire la suite
image_blog
25
Juin
Réussir son projet de dématérialisation : 5 points clés et 5 pièges à éviter
  • by GlobalPartner
  • |
  • 0 Commentaires

Découvrez les clés de succès et les pièges à éviter dans un projet de dématérialisation.

Lire la suite