Annexe Sous-traitance du traitement de données à caractère personnel

Ce que personne ne veut lire, et pourtant c'est important !

1.Traitement sous-traité

Avant la mise en œuvre des opérations de traitement sous-traitées, le sous-traitant devra faire figurer dans son registre de traitement les informations suivantes, qui fixeront le cadre de sa mission :

 

THEME

DESCRIPTION

Nature et finalités

 

Description des catégories de personnes concernées

 

Description des catégories de données à caractère personnel

 

Catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales

 

Transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale

 

Durée de conservation des données à caractère personnel

 

 

 Les opérations de traitement de données à caractère personnel qui ne sont pas expressément visées demeurent à la charge du responsable de traitement.

 

3. Le sous-traitant devra obtenir une autorisation écrite et préalable du responsable de traitement avant de faire appel à un autre sous-traitant.

 

2. Mesures techniques et organisationnelles

 Les mesures techniques et organisationnelles mises en place par Guest Suite pour le traitement des données à caractère personnel dans le cadre du présent contrat sont les suivantes : 

 

  • accès physique au traitement protégé (bâtiment); 
  • procédé d'authentification des utilisateurs mis en œuvre (mot de passe individuel); 
  • journalisation des connexions effectuée; 
  • en cas d'échange de données en réseau, canal de transport ou données chiffrées; 
  • moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement mis en œuvre; 
  • procédure visant à tester, analyser, évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement mis en œuvre. 

3. Assistance générale

 Cet article a pour objectif de définir les services d’assistance fournis par Guest Suite sur les domaines suivants : 

 

  1. « dans la mise en œuvre de son obligation de donner suite aux demandes formulées sur le fondement du chapitre III du règlement 2016/679 par les personnes concernées (demande de droits des personnes concernées) ;
  2. pour garantir le respect des obligations incombant au responsable du traitement en matière de sécurité du traitement, de notification et de communication d’une violation de données à caractère personnel ;
  3. pour la réalisation de l’analyse d’impact relative à la protection des données et de la consultation préalable au traitement ».

Toute demande d’assistance à Guest Suite pour les domaines précités s’effectuera par courrier électronique envoyées à l’adresse support@guest-suite.com (à défaut de désignation d’un CSM).

Guest Suite s’engage à accuser réception de la demande d’assistance dans un délai de deux (2) jours ouvrés puis à traiter les demandes dans les plus brefs délais à l’exception du point 5 ci-dessous concernant les notifications d’une violation qui devra être notifiée au responsable de traitement dès que Guest Suite en a connaissance, sans délai, et par tout moyen permettant d’attester d’une date et heure d’envoi et de réception. 

Guest Suite s’engage vis-à-vis de Point Vision à : 

  1. pour les demandes des personnes concernées : communication des données traitées par Guest Suite pour le compte de Point Vision, suppression des données traitées à la demande de la personne concernée, modification des données traitées à la demande de la personne concernée, etc. ;
  2. pour garantir le respect des obligations incombant au responsable du traitement en matière de sécurité du traitement : Guest Suite s’engage à aider Point Vision à garantir le respect de ses propres obligations de sécurité prévues aux articles 32 à 36 du RGPD ; 
  3. pour les demandes relatives à la réalisation d’analyse d’impact, Guest Suite s’engage à communiquer toutes données nécessaires à Point Vision.

4. Assistance spécifique : notification d’une violation de données

 En cas de violation de données à caractère personnelle, le sous-traitant devra informer cette violation le responsable du traitement, dès qu’il en a connaissance, sans délai, et par tout moyen permettant d’attester d’une date et heure d’envoi et de réception. 

 La notification doit comporter les informations suivantes :

Theme

commentaire

 

Le résumé de l’incident

 

 

Le nombre de personnes et de documents affectés

Minimum et maximum estimés

 

La date de la violation

 

 

La durée de la violation

 

 

La nature de la violation

 

 

La nature des données affectées

 

 

Les mesures prises rendant les données incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès

 

 

Les causes supposées de la violation

 

 

Le lien avec des violations précédentes

 

 

Les conséquences probables de la violation

 

 

Les mesures adoptées pour limiter les effets de la violation

 

 

Les mesures ultérieures recommandées pour limiter les effets de la violation