Contrat de Processeur de données

Contrôleur de données : Client situé dans l’UE (le « Contrôleur de données ») et

(le « Processeur de données »)
(dénommés séparément une « Partie » et collectivement les « Parties »)
ont conclu le présent

Contrat de Processeur de données

(Le « Contrat »)

concernant le traitement des données personnelles par le Processeur de données pour le compte du Contrôleur de données.

1. Les données personnelles traitées

1.1 Le présent Contrat a été conclu dans le cadre de l’utilisation des services des Processeurs de données par les Contrôleurs de données dans le cadre des services de souscription et des services supplémentaires décrits dans les « Conditions générales de One.com » (le « Contrat principal »).

1.2 Le Processeur de données traite les types de données personnelles au nom du Contrôleur de données pour ce qui est des personnes concernées conformément à l’Annexe 1. Les données personnelles portent sur les personnes concernées figurant à l’Annexe 1.

1.3 Le Contrat et le Contrat principal sont interdépendants et ne peuvent être résiliés séparément. Toutefois, le Contrat peut être remplacé par un autre Contrat de processeur de données valide sans résilier le Contrat principal.

2. Objectif

2.1 Le Processeur de données ne doit traiter les données personnelles qu’aux fins qui sont nécessaires pour remplir
les obligations des Processeurs de données et, ce faisant, fournir les services définis dans le Contrat principal.

3. Obligations du Contrôleur de données

3.1 Le Contrôleur de données garantit que les données personnelles sont traitées à des fins légitimes et objectives
et que le Processeur de données ne traite pas plus de données personnelles que nécessaire pour atteindre ces
objectifs.

3.2 Le Contrôleur de données est responsable de l’existence d’une base juridique valable pour le traitement au moment du transfert des données personnelles au Processeur de données. À la demande du Processeur de données, le Contrôleur de données s’engage, par écrit, à rendre compte de la base du traitement et/ou à fournir les documents nécessaires.

3.3 En outre, le Contrôleur de données garantit que les personnes concernées auxquelles appartiennent les données personnelles disposent d’informations suffisantes sur le traitement de leurs données personnelles.

3.4 Dans le cas où le Contrôleur de données demanderait un Processeur de données auxiliaire, nommé conformément à la clause 5.1 directement, le Contrôleur de données devra immédiatement en informer le Processeur de données. Le Processeur de données ne sera en aucun cas responsable des traitements effectués par le Processeur de données auxiliaire conformément à ces instructions.

4. Obligations du Processeur de données

4.1 Tout traitement par le Processeur de données personnelles fournies par le Contrôleur de données doit être conforme à ces instructions du Contrôleur de données, et le Processeur de données est en outre tenu de se conformer à toutes les lois en matière de protection des données en vigueur au moment considéré. Si le droit de l’Union européenne ou la législation d’un État membre de l’UE auquel le Processeur de données est soumis stipule que le Processeur de données est tenu de traiter les données personnelles énumérées au point 1.2, le Processeur de données doit informer le Contrôleur de données d’une telle exigence juridique avant de procéder au traitement. Toutefois, cela ne s’applique pas si cette législation interdit de telles informations pour des raisons importantes d’intérêt public. Le Processeur de données doit immédiatement informer le Contrôleur de données si, de l’avis du Processeur de données, une instruction enfreint le Règlement général sur la protection des données de l’UE ou les dispositions relatives à la protection des données d’un État membre.

4.2 Le Processeur de données doit prendre toutes les mesures de sécurité techniques et organisationnelles nécessaires, y compris toute mesure supplémentaire requise pour garantir que les données personnelles spécifiées au paragraphe 1.2 ne soient pas détruites accidentellement ou illégalement, ni perdues ou altérées ou portées à la connaissance de tiers non autorisés, dénaturées ou traitées d’une manière contraire à la législation danoise sur la protection des données en vigueur à tout moment. Ces mesures sont décrites plus en détail à l’Annexe 1.

4.3 Le Processeur de données doit s’assurer que les employés autorisés à traiter les données personnelles se sont engagés à respecter la confidentialité ou sont soumis à l’obligation légale de confidentialité appropriée.

4.4 Si le Contrôleur de données le demande, le Processeur de données doit indiquer et/ou documenter le fait que le Processeur de données respecte les exigences de la législation applicable en matière de protection des données, y compris la documentation relative aux flux de données du Processeur de données ainsi que les procédures/politiques de traitement des données personnelles.

4.5 Compte tenu de la nature du traitement, le Processeur de données doit, dans la mesure du possible, aider le contrôleur par des mesures techniques et organisationnelles appropriées pour satisfaire à l’obligation qu’a le Contrôleur de données de répondre aux demandes d’exercice des droits de la personne concernée, tels qu’indiqués au chapitre 3 du Règlement général sur la protection des données.

4.6 Le Processeur de données ou un autre Processeur de données (Processeur de données auxiliaire) doit envoyer les demandes et les objections des personnes concernées aux Contrôleurs des données pour traitement ultérieur par celui-ci, sauf si le Processeur de données est habilité à traiter lui-même cette demande. Si le Contrôleur de données le demande, le Processeur de données doit aider le Contrôleur de données à répondre à de telles demandes et/ou objections.

4.7 Si le Processeur de données traite les données personnelles dans un autre État membre de l’UE, le Processeur de données doit se conformer à la législation concernant les mesures de sécurité dans cet État membre.

4.8 Le Processeur de données doit avertir le Contrôleur de données dès lors qu’il existe un soupçon que des règles de protection des données ont été enfreintes ou que d’autres irrégularités liées au traitement des données personnelles se produisent. Le Processeur de données doit informer le Contrôleur de données d’une violation de sécurité dans un délai de 24 heures à compter du moment où le Processeur de données prend connaissance d’une violation de sécurité. Si le Contrôleur de données le demande, le Processeur de données doit aider le Contrôleur de données à clarifier la portée de la violation de sécurité, y compris la préparation de toute notification à l’Agence de protection des données et/ou aux personnes concernées.

4.9 Le Processeur de données doit mettre à la disposition du Contrôleur de données toutes les informations nécessaires pour démontrer la conformité à l’article 28 du Règlement général sur la protection des données et au Contrat. À cet égard, le Processeur de données permet et contribue aux audits, y compris les inspections, menées par le Contrôleur de données ou un autre auditeur mandaté par le Contrôleur de données.

4.10 En plus de ce qui précède, le Processeur de données doit aider le Contrôleur de données à respecter les obligations du Contrôleur de données en vertu des articles 32-36 du Règlement général sur la protection des données. Cette assistance tiendra compte de la nature du traitement et des informations dont dispose le Processeur de données.

5. Transfert des données à des Processeur de données auxiliaires ou à des tiers

5.1 Le Processeur de données doit respecter les conditions énoncées à l’article 28, paragraphes 2 et 4, du Règlement général sur la protection des données pour l’embauche d’un autre Processeur de données (Processeur de données auxiliaire). Cela implique que le Processeur de données ne peut pas embaucher un autre Processeur de données (Processeur de données auxiliaire) pour l’exécution de l’accord sans l’approbation écrite préalable spécifique ou générale du Contrôleur de données.

5.2 Le Contrôleur de données accorde par la présente au Processeur de données une autorisation générale pour conclure des accords avec les Processeurs de données auxiliaires. Le Processeur de données doit informer le Contrôleur de données de tout changement concernant l’ajout ou le remplacement de données auxiliaires. Le Contrôleur de données peut formuler des objections raisonnables et pertinentes contre de tels changements. Si le Contrôleur de données continue d’utiliser un Processeur de données auxiliaire auquel le Contrôleur de données s’est opposé, les Parties ont le droit de résilier le Contrat et, le cas échéant, le Contrat principal avec un préavis plus court, cf. 7.2. Pendant cette période, le Contrôleur de données ne doit pas exiger que le Processeur de données n’utilise pas le Processeur de données auxiliaire en question.

5.3 Le Processeur de données doit imposer les mêmes obligations au Processeur de données auxiliaire que celles définies dans le Contrat. Ceci est exécuté moyennant un contrat ou un autre acte juridique en vertu du droit de l’UE ou de la loi d’un État membre. Il faut s’assurer que le Processeur de données auxiliaire dispose des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement général sur la protection des données (les conditions dites « back-to-back »).

5.4 Si le Processeur de données auxiliaire ne remplit pas ses obligations en matière de protection des données, le Processeur de données demeure responsable envers le Contrôleur de données de l’exécution des obligations du Processeur de données auxiliaire.

5.5 Le Processeur de données doit, au nom du Contrôleur de données, conclure des accords avec des Processeur de données auxiliaires dans l’UE/EEE. En ce qui concerne les Processeur de données auxiliaires en dehors de l’UE/EEE, le Processeur de données doit conclure des accords types conformément à la Décision de la Commission 2010/87/UE du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données personnelles à des processeurs établis dans des pays tiers (« Contrats standard ») ou conformément au Bouclier de confidentialité UE/US.

5.6 Le Contrôleur de données accorde par la présente au Processeur de données une procuration générale pour conclure des contrats types avec des Processeur de données auxiliaires en dehors de l’UE/EEE pour le compte du Contrôleur de données.

6. Responsabilités

6.1 La responsabilité des Parties est régie par le Contrat principal.

6.2 La responsabilité des Parties en matière de dommages-intérêts en vertu du présent Contrat est régie par le Contrat principal.

7. Date d’entrée en vigueur et résiliation

7.1 Le présent Contrat entrera en vigueur en même temps que le Contrat principal.

7.2 En cas de résiliation du Contrat principal, le présent Contrat prendra également fin. Toutefois, le Processeur de données reste soumis aux obligations stipulées dans le présent Contrat, dès lors qu’il traite les données personnelles au nom du Contrôleur de données. Dans la situation décrite à la clause 5.2, les parties ont le droit de résilier le Contrat principal et le Contrat avec un préavis d’un (1) mois se terminant à la fin d’un mois.

7.3 À la fin des services de traitement, le Processeur de données est tenu de supprimer ou de renvoyer toutes les données personnelles au Contrôleur de données, à la demande du Processeur de données, et de supprimer les copies existantes, sauf si la conservation des données personnelles est prescrite par une loi de l’UE ou une loi nationale.

8. Droit applicable et juridiction

8.1 Toute réclamation ou tout litige découlant du présent Contrat ou en relation avec celui-ci doit être réglé par un tribunal compétent de première instance dans la même juridiction que celle indiquée dans le Contrat principal.

Annexe 1

Catégories de personnes concernées, types de données personnelles et instructions

1. Catégories de personnes concernées :

• Le Processeur de données traitera les informations de contact sur les clients et/ou les membres, les employés, les fournisseurs, les partenaires et les affiliés d’affaires et de collaboration actuels, potentiels ou anciens du Contrôleur de données.
• Le Processeur de données a mis en place son système d’élimination des données du Contrôleur de données en tant que service hébergé, si bien que le Processeur de données ne peut pas déterminer toutes les catégories de personnes concernées. Si le Contrôleur de données héberge des données sur d’autres catégories de personnes concernées avec le Processeur de données, c’est au Contrôleur de données qu’il incombe d’enregistrer ces informations.

2. Types de données personnelles :

• Informations de contact et d’identification, y compris e-mail
• Adresses IP
• Noms de domaine
• Noms d’utilisateur
• Informations sur l’adhésion
• Analyses et données d’utilisation
• Historique des commandes et informations
• Contrats
• Communication
• Assistance
• Photos
• D’autres types de données personnelles sont envisageables

3. Instructions

Services

Le Processeur de données peut traiter des données personnelles des personnes concernées dans le but de livrer, développer, gérer, administrer et gérer les services du Contrat principal, y compris assurer la stabilité et la disponibilité de nos serveurs et répondre aux exigences juridiques.

Sécurité

Le Processeur de données doit garantir la confidentialité, l’intégrité et la disponibilité des données personnelles. Le Processeur de données doit mettre en œuvre des mesures systématiques, organisationnelles et techniques pour assurer un niveau de sécurité approprié, en tenant compte de l’état, du type et du coût de la mise en œuvre en fonction de la nature des données personnelles et du risque de traitement.

Le Processeur de données doit fournir un haut niveau de sécurité en ce qui concerne ses services et produits. Cette sécurité est assurée par des mesures de sécurité techniques, organisationnelles et physiques qui incluent les mesures suivantes :

– Les installations et les bureaux conjoints sont protégés par des contrôles d’accès appropriés qui garantissent que seul le personnel autorisé y a accès.

– Une protection antivirus appropriée est en place.

– L’accès et la connexion sont à base de rôles ou individuels, et le personnel et les systèmes n’ont pas plus d’accès que nécessaire pour effectuer leurs tâches.

– Sauvegarde des systèmes qui traitent les données personnelles.

– Journaux de modifications.

– Les communications sur Internet entre des systèmes qui traitent les données personnelles sont cryptées.

– Classification des données personnelles pour assurer la mise en œuvre des mesures de sécurité qui correspondent à l’évaluation des risques.

– Utilisation de systèmes et de processus qui aident à améliorer la sécurité dans le traitement des données personnelles.

Le Processeur de données est autorisé à prendre d’autres décisions concernant les mesures de sécurité techniques et
organisationnelles nécessaires qui doivent être mises en œuvre pour garantir le niveau de sécurité approprié vis-à-vis des
données personnelles.

Durée de conservation

Les données personnelles stockées/hébergées dans nos systèmes sont supprimées ou anonymisées dans un délai raisonnable une fois que le Contrôleur de données a complètement résilié le Contrat principal. Les exceptions sont les données pour lesquelles le Processeur de données a l’obligation légale de les enregistrer plus longtemps.

Ce type de données sera généralement supprimé dans un délai de huit semaines, mais éventuellement plus tôt. Les autres types de données qui sont stockées dans les journaux, etc. seront supprimées après un délai raisonnable, généralement inférieur à 8 semaines.

Emplacement des données

Les données personnelles stockées/hébergées dans les systèmes de traitement des données sont hébergées dans des centres de données au Danemark. Le contrôleur de données autorise le Processeur de données à déplacer des données vers d’autres centres de données au sein de l’Union européenne si ce dernier le juge pertinent et si le même niveau de sécurité et de disponibilité peut être garanti.

Inspection du Processeur de données

Le Processeur de données doit, une fois par an et à ses frais, obtenir un rapport d’audit/d’inspection d’un tiers concernant la conformité du Processeur de données avec le présent Contrat et ses Annexes.

Étant donné que les systèmes du Processeur de données sont utilisés par plusieurs Contrôleurs des données, le Contrôleur de données accorde au Processeur de données l’autorisation de faire réaliser l’audit par un inspecteur ou un auditeur tiers sélectionné par le Processeur de données.

Si le Contrôleur de données n’accepte pas le tiers neutre choisi par le Processeur des données, le client pourra choisir un autre tiers avec le Processeur des données.