Politique de confidentialité
réalisé(s) dans le cadre des Prestations ou du Service.
Dans la présente annexe, les termes et expressions identifiés par une majuscule ont la signification indiquée ci-après, qu’ils soient employés au singulier ou au pluriel.
Données Personnelles : désigne les données à caractère personnel traitées dans le cadre de l’exécution du Contrat, au sens du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et la loi n°78-17 du 6 janvier 1978 (dit « RGPD »), cet ensemble règlementaire désigné ci-après «Règlementation Applicable ».
COMMIUM agit en tant que responsable de traitement pour ce qui concerne le traitement des Données Personnelles des salariés du Client pour les besoins d’exécution et de suivi du Contrat.
Dans les autres cas :
– le Client agit en qualité de responsable du traitement de Données Personnelles ou, le cas échéant, sous-traitant de ses clients ;
– COMMIUM agit en qualité de sous-traitant pour le compte et sur les instructions documentées et licites du Client,
Les Parties reconnaissent que l’exécution du Contrat ainsi que l’utilisation du Service et de ses fonctionnalités constituent les instructions documentées du Client. Toute instruction supplémentaire du Client devra être faite par écrit, préciser la finalité concernée et l’opération à effectuer, étant entendu que la mise en œuvre de toute instruction supplémentaire sera conditionnée à l’acceptation par le Client du devis correspondant émis par COMMIUM.
Il est entendu que le Client est le seul à disposer de la maitrise et de la connaissance, notamment de l’origine, des Données Personnelles traitées lors de l’exécution du Contrat. Le Client garantit ainsi respecter l’ensemble des obligations qui lui incombent en qualité de responsable du traitement.
A l’issue du Contrat, COMMIUM supprimera les Données Personnelles et leurs éventuelles copies à moins que le droit applicable n’exige la conservation de ces Données Personnelles.
Le Client s’engage à indiquer à COMMIUM la personne à contacter pour toutes informations, communications, notifications ou demandes en application de la présente annexe. À défaut d’indication par le Client, le signataire du Contrat sera considéré comme la personne à contacter.
COMMIUM pourra être amenée à transférer les Données Personnelles pour les stricts besoins de l’exécution du Contrat sous réserve d’en informer préalablement le Client. Dans tous les cas, COMMIUM s’interdit de transférer les Données Personnelles, sans mettre en place les outils adéquats d’encadrement de ces transferts en application de l’article 46 du RGPD, en dehors :
– de l’Union Européenne, ou
– de l’Espace Economique Européen, ou
– des pays reconnus comme disposant d’un niveau de sécurité adéquat par la Commission
Européenne, comprenant les entreprises établies aux Etats-Unis d’Amérique certifiées « Privacy
Shield ».
En tout état de cause, les Données Personnelles demeurent localisées dans un ou plusieurs sites situés en Union Européenne.
En application de l’article 32.1 du RGPD, le Client et COMMIUM reconnaissent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques. Les moyens mis en œuvre par COMMIUM sont le cas échéant listés dans un document dédié dont la dernière version à jour est mise à disposition du Client sur demande.
Il est entendu que COMMIUM est responsable de la uniquement pour les aspects relevant de son contrôle. Le Client demeure responsable de la sécurité et de la confidentialité de ses systèmes et de sa politique d’accès. Il lui appartient de s’assurer que les usages et les choix de configuration du Service répondent aux exigences de la Règlementation Applicable. Il est entendu que COMMIUM n’a aucune obligation de protéger des données personnelles qui sont stockées ou transférées hors du Service par le Client ou par COMMIUM sur instruction du Client.
COMMIUM veille à ce que son personnel – lorsqu’il est autorisé à traiter des Données Personnelles – s’engage à en respecter la confidentialité.
COMMIUM s’engage à communiquer au Client dans les meilleurs délais après réception, toute demande, requête ou plainte qui lui serait adressée par toute personne physique concernée par le traitement de ses Données Personnelles réalisé dans le cadre du Contrat.
En qualité de responsable du traitement, le Client reste responsable de la réponse à apporter aux personnes physiques concernées et COMMIUM s’engage à ne pas répondre à de telles demandes.
Cependant, compte tenu de la nature du traitement de Données Personnelles, COMMIUM s’engage, par des mesures techniques et organisationnelles appropriées et dans toute la mesure du possible, à aider le Client à s’acquitter de son obligation de donner suite à de telles sollicitations.
Sur demande écrite du Client, COMMIUM fournit au Client, aux frais de ce dernier, toute information utile en sa possession afin de l’aider à satisfaire aux exigences de la Règlementation Applicable qui incombent au Client en qualité de responsable du traitement concernant les analyses d’impact relatives à la protection des Données Personnelles menées par et sous la seule responsabilité du Client ainsi que les consultations préalables auprès de la CNIL qui pourraient en découler.
COMMIUM notifie au Client dans les meilleurs délais après en avoir pris connaissance toute violation de la sécurité des Données Personnelles entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données Personnelles. COMMIUM fournit au Client dans les meilleurs délais à compter de la notification de la violation de la sécurité des Données Personnelles et dans la mesure du possible les informations suivantes :
– les catégories et le nombre approximatif de personnes concernées par la violation ;
– les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
– la description des conséquences probables de la violation de données à caractère personnel ;
– la description des mesures prises ou que COMMIUM propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Le Client autorise COMMIUM à faire appel à des sous-traitants pour mener les activités de traitement de Données Personnelles pour le compte du Client strictement nécessaires à l’exécution du Contrat.
COMMIUM s’engage à faire appel à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à répondre aux exigences de la Règlementation Applicable.
COMMIUM s’engage à imposer contractuellement à ses sous-traitants un niveau d’obligation au moins aussi équivalent en matière de protection des Données Personnelles à celui fixé dans le présent Contrat et par la Règlementation Applicable. COMMIUM demeure responsable devant le Client de l’exécution par ledit sous-traitant de ses obligations.
COMMIUM s’engage à faire appel uniquement à un sous-traitant :
– établi dans un pays de l’Union Européenne ou de l’Espace Economique Européen, ou
– établi dans un pays disposant d’un niveau de protection suffisant par décision de la Commission Européenne au regard de la Règlementation Applicable, ou
– disposant des garanties appropriées en application de l’article 46 du RGPD.
La liste des sous-traitants de COMMIUM est fournie sur demande écrite du Client. COMMIUM s’engage à informer le Client de tout ajout ou remplacement de sous-traitants dans les plus brefs délais. Le Client pourra formuler ses objections par écrit dans un délai de dix (10) jours ouvrés à compter de la réception de l’information. Le Client reconnaît et accepte que l’absence d’objection dans ce délai équivaut à une acceptation de sa part du sous-traitant.
En cas d’objection, COMMIUM dispose de la possibilité de répondre au Client pour apporter des éléments de nature à lever ces objections. Si le Client maintient ses objections, les Parties s’engagent à se rencontrer et à échanger de bonne foi concernant la poursuite de leur relation.
COMMIUM met à la disposition du Client, par courriel et à la demande de celui-ci, tout document nécessaire permettant de démontrer le respect des obligations de COMMIUM en qualité de sous- traitant au titre du Contrat. Tout autre mode de transmission de ces documents s’effectuera aux frais du Client.
Le Client pourra réclamer auprès de COMMIUM des explications complémentaires si les documents fournis ne lui permettent pas de vérifier le respect des obligations de COMMIUM en qualité de sous- traitant au titre du Contrat. Le Client formule alors une demande écrite auprès de COMMIUM, par lettre recommandée avec accusé de réception, dans laquelle il justifie et documente sa demande d’explication complémentaire. COMMIUM s’engage à apporter une réponse au Client dans les meilleurs délais.