Ce que personne ne veut lire, et pourtant c'est important !

Sommaire

1. Préambule
2. Respect de la législation applicable
3. Définitions
4. Description des traitements de données
5. Durée du contrat
6. Réalisation du traitement de données
7. Sécurité et confidentialité
8. Mesures techniques et organisationnelles de sécurité
9. Violations de données à caractère personnel
10. Excercice des droits des personnes
11. Collaboration entre les parties
12. Assitance
13. Sous-traitance des prestations
14. Registre des catégories d'activités de traitement
15. Documentation
16. Transfert des données à caractère personnel vers un pays tiers ou une organisation internationale
17. Loi du 31 décembre 1975 relative à la sous-traitance
18. Traitements sous-traités pour le service d'envoi d'enquête de satisfaction par courrier électronique
19. Traitements sous-traités pour le service d'enoi d'enquête de satisfaction par SMS
20. Traitements sous-traités pour la prestation Care & Reply
21. Traitements sous-traités spécifique pour le responsable de traitement

 

1. Préambule

 

Les présentes clauses ont pour objet de définir les conditions dans lesquelles Guest Suite, ou le Prestataire, en tant que sous-traitant,s’engage à effectuer pour le compte du responsable de traitement, les opérations de traitements de données à caractère personnel définies ci-après.

 

Dans le cadre du présent contrat (« Contrat »), chacune des Parties, pour ce qui la concerne et selon son rôle au regard des traitements mis en œuvre, s’engage à respecter les dispositions légales et réglementaires applicables aux traitements de données à caractère personnel
(« Législation relative à la protection des Données à caractère personnel ») à savoir, notamment :

• la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
• toute réglementation adoptée pendant la durée du Contrat, modifiant, remplaçant ou complétant la loi n° 78-17 précitée ;
• le Règlement (UE) n° 2016/679 dit « Règlement Général sur la Protection des Données »(« RGPD »).

 

2. Respect de la législation applicable

 

L’exécution du Contrat entraîne le Traitement de Données à caractère personnel par le Prestataire aux fins de la fourniture des Services prévus par le Contrat.

Ces Traitements sont soumis à la Législation relative à la protection des Données à caractère personnel.

 

Chacune des parties garantit l’autre partie du respect des obligations légales et réglementaires lui incombant au titre de la protection des données à caractère personnel. Les Parties s’engagent à collaborer activement afin de permettre le respect par chacune des Parties des droits et obligations résultant de l’application de la Législation relative à la protection des Données à caractère personnel.

 

Une partie ne pourra pas être tenue pour responsable du manquement aux obligations auxquelles l’autre était astreinte à titre personnel.

3. Définitions

 

• « Législation relative à la protection des Données à caractère personnel » désigne la Loi dite « informatique et libertés » n° 78-17 du 6 janvier 1978 modifiée par la loi n° 2018-493 du 20 juin 2018 relative à l'informatique, aux fichiers et aux libertés ainsi que le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du Traitement des Données à caractère personnel et à la libre circulation de ces Données, abrogeant la directive 95/46/CE (Règlement général sur la protection des Données) qui est entrée en vigueur le 25 mai 2018, et toute loi ou tout règlement applicable en matière de protection des données à caractère personnel ;
• Le « Client » : l’entité ayant contracté avec le Prestataire pour ses Services et ayant accepté les Conditions Générales du Prestataire ;
• « Données à caractère personnel », « Traitement », « responsable du Traitement », « Sous-traitant/Sous-traitance », « Personne concernée », « Autorité de contrôle », « Étude d’impact sur la vie privée », « Registre des activités de Traitement », « Violations de Données à caractère personnel », « Protection des Données dès la conception/par défaut », « Clauses contractuelles types » ont la même signification, avec ou sans majuscule, que dans la Législation relative à la protection des Données à caractère personnel ;
• « Documentation relative aux Traitements » désigne l’ensemble de la documentation dont la tenue est obligatoire en application de la Législation relative à la protection des Données à caractère personnel ;
• « Entité » désigne l’entreprise pour laquelle le Client exerce une activité de sous-traitance de traitement de données à caractère personnel ;
• Le « responsable du traitement » est le Client ;
• Le « Sous-traitant » ou le « Prestataire » est Guest Suite.

 

4. Description des traitements de données

 

Les traitements objets de la sous-traitance sont décrits dans l’Annexe 1. Les opérations de traitement de données à caractère personnel qui ne sont pas expressément visées demeurent à la charge du responsable de traitement.

 

5. Durée du contrat

 

Le contrat entre en vigueur à la date de sa signature par les Parties pour la durée pour laquelle le Client a accepté les Conditions Générales. En cas de signature à des dates différentes, la dernière date est considérée entre les Parties comme la date de signature effective du contrat.

6. Réalisation du traitement de données

 

Les Données à caractère personnel ne pourront faire l’objet d’aucune opération de Traitement, autres que celles prévues au Contrat, de la part du Prestataire, d’un sous-traitant ou d’une personne agissant sous l’autorité du Prestataire. Le Prestataire s’engage en conséquence à :

 

• Ne procéder au Traitement des Données à caractère personnel qu’en application du Contrat c’est-à-dire sur les seules instructions écrites du responsable du traitement. Tout traitement au titre de l’exécution stricte du Contrat par le Prestataire est expressément réputé effectué sur les instructions écrites et documentées du responsable du traitement y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il informe dans ce cas le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public. Il appartient au Prestataire de s’assurer que les instructions documentées sont écrites, suffisamment précises, détaillées et explicites. Si le Prestataire considère qu’une instruction constitue une violation de la Législation relative à la protection des Données à caractère personnel ou d’autres dispositions du droit de l’Union ou du droit des Etats membres relatives à la protection des données, il en informe immédiatement le responsable du traitement par tout moyen approprié et notamment par courrier électronique à l’adresse communiquée par le Client, au regard de l’urgence, après avoir vérifié la qualité du destinataire et vérifié que l’ensemble des informations nécessaires et documentées lui sont transmises pour apprécier cette violation. Le Prestataire s’engage à confirmer cette information au responsable du Traitement par lettre recommandée avec accusé de réception et s’abstient de tout traitement objet de son information tant que ce dernier ne s’est pas prononcé sur la violation alléguée ;
• S’abstenir de toute utilisation ou Traitement des Données à caractère personnel non conformes aux instructions écrites transmises par le responsable du traitement ou étrangers à l’exécution du Contrat, et en particulier à ne faire aucun usage personnel des Données à caractère personnel ;
• Ne pas céder, divulguer, ou communiquer totalement ou partiellement à un tiers non autorisé les données à caractère personnel traitées dans le cadre du Contrat et veiller à ce que ces personnes n’y aient accès que pour les besoins strictement nécessaires aux traitements prévus par le Contrat ;
• Obtenir l’autorisation préalable du responsable du traitement pour toute utilisation des Données à caractère personnel à des fins statistiques ou d’études, y compris lorsque celles-ci sont réalisées de manière pseudonymisée ou anonymisée ;
• Ne prendre aucune copie des documents et supports d'informations comportant des Données à caractère personnel qui lui sont confiés, à l’exception de celles nécessaires à l’exécution du Contrat, et seulement après avoir recueilli l’accord préalable du responsable du traitement ;
• Informer le responsable du traitement de toute demande d’accès ou de communication émanant d’un tiers se prévalant d’une autorisation découlant de l’application de dispositions légales ou réglementaires conformément à l’article 9 du Contrat avant tout accès ou communication, le Prestataire devra avoir procédé aux vérifications nécessaires quant au bien-fondé de la demande de communication, notamment auprès du responsable du traitement
• Mettre à la disposition du responsable du traitement toutes les informations nécessaires pour leur permettre de démontrer le respect des obligations prévues au Contrat et le respect de la Législation relative à la protection des Données à caractère personnel, ainsi que pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’elle a mandaté, et contribuer à ces audits ;
• Au terme de la présente prestation, selon le choix effectué par le responsable du traitement :
  • à renvoyer toutes les données à caractère personnel au responsable du traitement concerné et à détruire toutes les copies existantes dans les systèmes d’information du Prestataire lequel s’engage à en justifier par écrit sur demande du responsable du traitement ; ou,
  • à supprimer toutes les données à caractère personnel et à en justifier par écrit sur demande du responsable du traitement
  • sauf si le droit de l’Union ou le droit de l’Etat membre en exige la conservation.

 

Les Données à caractère personnel ne pourront faire l’objet d’aucune divulgation ou communication à des tiers en dehors des cas expressément prévus dans le Contrat ou résultant des instructions écrites du responsable du traitement, ou de ceux prévus par une disposition légale ou réglementaire.

7. Sécurité et confidentialité

 

Le Prestataire s’engage à mettre en œuvre toutes les mesures requises en application de l’article 32 du RGPD pour assurer et garantit la parfaite sécurité et confidentialité des données à caractère personnel traitées dans le cadre du Contrat. Cela vise en particulier toutes les mesures qui sont de nature à assurer la sécurité et la confidentialité des Données traitées et celles visant à faciliter l’exercice des droits d’accès, de rectification, de limitation, d’opposition et de suppression des personnes concernées, ainsi que le retrait de leur consentement le cas échéant.

 

Le Prestataire est tenu d’assurer un niveau de sécurité adapté au risque relatif aux traitements, en fonction de la nature du traitement et du type des données traitées.

 

Le Prestataire s’engage à mettre en place toutes les procédures nécessaires pour assurer la confidentialité et la plus grande sécurité des données transmises par le responsable de traitement.

 

Le Prestataire s’engage à prendre toutes les mesures nécessaires au respect par elle-même et par son personnel de ces obligations et notamment à :

 

• ne pas traiter, consulter les données ou les fichiers contenus à d’autres fins que l’exécution des prestations qu’elle effectue pour le responsable de traitement ;
• ne traiter, consulter les données que dans le cadre des instructions et de l’autorisation reçues du responsable de traitement ;
• prendre toutes précautions utiles afin de préserver la sécurité des données, et notamment, empêcher qu’elles ne soient déformées, endommagées, et empêcher tout accès qui ne serait pas préalablement autorisé par le responsable de traitement ;
• ne pas insérer dans les fichiers des données étrangères ;
• à prendre toute mesure permettant d’empêcher toute utilisation détournée, malveillante ou frauduleuse des données et des fichiers ;
• s’interdire la consultation, le traitement de données autres que celles concernées par les présentes et ce, même si l’accès à ces données est techniquement possible ;
• d’assurer les sauvegardes et l’archivage des données traitées ;
• de divulguer, sous quelque forme que ce soit, tout ou partie des données transmises.
  
  

8. Mesures techniques et organisationnelles de sécurité

 

Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le Prestataireprend toutes les mesures techniques et organisationnelles requises afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

 

• la pseudonymisation et le chiffrement des données à caractère personnel ;
• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. Dans le cadre de cette évaluation, le Prestataire prend en compte les risques que présente le traitement résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

 

Le Prestataire s’engage, à garder le secret et la confidentialité des Données à caractère personnel auxquelles il aura accès à l’occasion de l’exécution du Contrat. Il met en œuvre des procédures assurant que les tiers qu’il autorise à accéder aux Données à caractère personnel, y compris ses propres Sous-traitants, respectent et préservent la confidentialité et la sécurité des Données à caractère personnel ; il veille à ce que toute personne qu’il autorise à accéder aux Données à caractère personnel traitées dans le cadre de l’exécution du Contrat soient tenus par une obligation de confidentialité résultant d’un engagement écrit ou d’une obligation légale.

9. Violations de données à caractère personnel

 

En cas de violation de données à caractère personnel, le Prestatairedevra informer cette violation au Clientdans un délai maximum de quarante-huit (48) heures après en avoir pris connaissance, par courrier électronique avec accusé de réception.

 

Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. La documentation doit contenir :

1. Le descriptif de la violation
2. Le nombre de personnes et de documents affectés (minimum et maximum estimés)
3. La date de la violation
4. La durée de la violation
5. La nature de la violation
6. La nature des données affectées
7. Les mesures prises rendant les données incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès
8. Les causes supposées de la violation
9. Le lien avec des violations précédentes
10. Les conséquences probables de la violation
11. Les mesures adoptées pour limiter les effets de la violation
12. Les mesures ultérieures recommandées pour limiter les effets de la violation
    
    

    Le Prestataire s’engage à coopérer afin de permettre au responsable du traitement de notifier la violation à toute Autorité de contrôle compétente en conformité avec la Législation relative à la protection des données à caractère personnel.

 

10. Exercice des droits des personnes

 

Le Prestataire doit, tenant compte de la nature du traitement, aider le responsable du traitement, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation des Traitements, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

 

Lorsque les personnes concernées exercent auprès du Prestataire des demandes d’exercice de leurs droits, le Prestataire doit adresser ces demandes au responsable du traitement concerné dès réception par courrier électronique à l’adresse électronique communiquée par le Client.

 

11. Collaboration entre les parties

 

Les parties conviennent de collaborer étroitement dans le cadre de leurs relations.

 

Chaque partie s’engage à apporter son assistance à l’autre en cas de procédure initiée par une autorité de contrôle ou une personne concernée, en lui remettant tous les documents nécessaires.

 

Le Prestataire met à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations à sa charge et pour permettre la réalisation d'audits, y compris des inspections, parle responsable de traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

 

12. Assistance

 

Le Prestataire collabore et aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD relativement :

• à la sécurité des traitements,
• à la notification à l’autorité de contrôle d’une violation de données à caractère personnelles,
• à la communication à la personne concernée d’une telle violation,
• à la tenue du registre des opérations de traitement lorsqu’il est exigé,
• dans la conduite des études d’impacts sur la vie privée,
• dans la mise en œuvre de mesures de protection des données à caractère personnel dès la conception et de protection des données à caractère personnel par défaut,
• ainsi que le cas échéant en vue de l’accomplissement des formalités préalables obligatoires auprès de la Cnil.

 

Le Prestataire communique au responsable du traitement toute information requise ou utile à la mise en œuvre de ces mesures ou l’accomplissement des formalités et pour permettre au responsable du traitement de tenir sa documentation relative aux traitements et démontrer la conformité des traitements de données confiés à la Législation relative à la protection des Données à caractère personnel.

 

Toute demande d’assistance du Client au Prestataire pour les domaines précités s’effectuera par courrier électronique envoyé à l’adresse support@guest-suite.com.

 

13. Sous-traitance des prestations

 

Le Prestataire ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable du Client. Dans le cas d'une autorisation écrite générale, le sous-traitant informe le Client de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi à ce dernier la possibilité d'émettre des objections à l'encontre de ces changements.

 

Lorsque le Prestataire recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l’article 28, §3, du RGPD, sont imposées à cet autre sous-traitant par contrat ou au moyen d'un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.

 

En tout état de cause, le Prestataire demeure pleinement responsable de l’exécution des obligations du Contrat par ses propres Sous-traitants et vérifie régulièrement, notamment par des audits, le respect de leurs obligations par ses Sous-traitants.

 

Lorsqu’un autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations.

 

14. Registre des catégories d'activités de traitement

 

Le Prestatairedéclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement comprenant :

 

• le nom et les coordonnées du responsable du traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
• les catégories de traitements effectués pour le compte du responsable du traitement ;
• le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ;
• dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
• la pseudonymisation et le chiffrement des données à caractère personnel ;
• des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

 

15. Documentation

 

Le Prestataire met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations prévues au présent article.

 

Cette documentation sera notamment constituée de tous les éléments permettant de démontrer que les traitements sont effectués conformément à une instruction du responsable de traitement.

 

Il est précisé que cette documentation permettra la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'elle a mandaté, et contribuer à ces audits aux conditions fixées dans le présent contrat.

 

16. Transfert des données à caractère personnel vers un pays tiers ou une organisation internationale

 

Le Prestataire s’engage à héberger et traiter les Données à caractère personnel exclusivement sur le territoire d’un État membre de l’Union européenne.

 

Un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale ne peut être effectué par le Prestataire en l’absence d’instruction documentée du responsable de traitement, à moins que le Prestataire ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel elle est soumise.

 

Dans ce cas, le Prestataire devra informer le responsable du traitement de cette obligation avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

17. Loi du 31 décembre 1975 relative à la sous-traitance

 

Aucune des stipulations du présent engagement n’a pour objet ou pour effet la mise en œuvre de la présentation, par le prestataire au responsable du traitement au sens de la loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance, d’un sous-traitant du prestataire, ni l’acceptation de celui-ci, ni l’agrément de ses conditions de paiement.

 

Il appartient au Prestataire de respecter la loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance, et la règlementation applicable en matière de déclaration de sous-traitance.

 

ANNEXE 1 : DESCRIPTION DES TRAITEMENTS SOUS-TRAITES

 

 

1. Traitements sous-traités pour le service d'envoi d'enquête de satisfaction par courrier électronique

Les opérations de traitement de données à caractère personnel qui ne sont pas expressément visées demeurent à la charge du responsable du traitement.

 

 

2. Traitements sous-traités pour le service d'envoi d'enquête de satisfaction par SMS

 

 

 

Les opérations de traitement de données à caractère personnel qui ne sont pas expressément visées demeurent à la charge du responsable du traitement.

 

 

3. Traitements sous-traités pour la prestation Care & Reply

 

 

 

Les opérations de traitement de données à caractère personnel qui ne sont pas expressément visées demeurent à la charge du responsable du traitement.

 

 

4. Traitements des données clients à des fins statistiques

 

Les opérations de traitement de données à caractère personnel qui ne sont pas expressément visées demeurent à la charge du responsable du traitement.