Les présentes clauses ont pour objet de définir les
conditions dans lesquelles le sous-traitant (CIAN
TECHNOLOGIES) s’engage à effectuer pour le compte du
responsable de traitement (le CLIENT) les opérations de
traitement de données définies ci-après.
Dans le cadre de leurs relations contractuelles, les
parties s’engagent à respecter la réglementation en
vigueur applicable au traitement de données à caractère
personnel et, en particulier, le règlement (UE) 2016/679
du Parlement européen et du Conseil du 27 avril 2016
applicable à compter du 25 mai 2018 (ci-après, « le
règlement européen sur la protection des données »).
I/ Description du traitement faisant l’objet de la sous-
traitance
Le sous-traitant est autorisé à traiter pour le compte du
responsable de traitement les données nécessaires pour
fournir le service de mise à disposition d’un outil
permettant la collecte et la gestion des dossiers Taxe
Apprentissage et/ou Formation Professionnelle
continue.
La nature des opérations réalisées sur les données est la
collecte des références, et contrats des différents
dossiers traités ainsi que des éléments de calcul
nécessaire au service dont la finalité est de permettre la
collecte de la Taxe d’Apprentissage et de la Formation
Professionnelle Continue.
Les données collectées et traitées sont les suivantes :
- Pour l’accès plateforme et outils par
authentification login/mot de passe :
- Mots de passes cryptés + méthode de salage
cryptographique
- Niveau d’accès défini par profil d’utilisation
- Accès directs aux bases de données filtrés par
IP avec gestion de droits pour le personnel
- Pour les collecteurs :
- Pour les Etablissements :
- Raison sociale
- Adresse
- Téléphone
- Télécopie
- Mail
- Coordonnées bancaires (cryptées)
- Pour les cabinets Comptables :
- Raison sociale
- Adresse
- Téléphone
- Télécopie
- Mail
- Pour les Collaborateurs comptables :
- Nom
- Prénom
- Téléphone
- Mail
- Pour les Apprentis :
- Nom
- Prénom
- Date de naissance
- Sexe
- Travailleur handicapé
- Date de début de contrat
- Date de fin de contrat
- Diplôme préparé
- Pour les Comptes utilisateurs :
Le responsable de traitement à la maitrise d’œuvre pour
indiquer un contact de référence contenant les
informations suivantes : (concerne clients, entreprises,
comptables, collaborateurs, écoles et entités
personnalisables)
- Nom
- Prénom
- Civilité
- Titre
- Fonction
- Mail
- Téléphone
- Télécopie
- GSM
- Adresse
Pour les Ecoles :
- Ensemble des données figurant dans les listes
préfectorales.
Les catégories de personnes concernées sont les
utilisateurs des plateformes du sous-traitant à savoir les
entreprises, les collecteurs, les écoles bénéficiaires ….
Pour l’exécution du service objet du présent contrat, le
responsable de traitement met à la disposition du sous-
traitant les informations ci-dessus.
Il est précisé que l’ensemble des données collectés reste
sous la responsabilité et la propriété du responsable du
traitement. Le sous-traitant ne peut exercer un droit de
propriété sur les données collectées, ni les transmettre
ou les commercialiser à un tiers quelconque.
II/ Obligations du sous-traitant vis-à-vis du responsable
de traitement
Le sous-traitant s'engage à :
- traiter les données uniquement pour la ou les seule(s)
finalité(s) qui fait/font l’objet de la sous-traitance
- traiter les données conformément aux instructions
documentées du responsable de traitement figurant en
annexe du présent contrat. Si le sous-traitant considère
qu’une instruction constitue une violation du règlement
européen sur la protection des données ou de toute
autre disposition du droit de l’Union ou du droit des
Etats membres relative à la protection des données, il en
informe immédiatement le responsable de traitement.
En outre, si le sous-traitant est tenu de procéder à un
transfert de données vers un pays tiers ou à une
organisation internationale, en vertu du droit de l’Union
ou du droit de l’Etat membre auquel il est soumis, il doit
informer le responsable du traitement de cette
obligation juridique avant le traitement, sauf si le droit
concerné interdit une telle information pour des motifs
importants d'intérêt public
- garantir la confidentialité des données à caractère
personnel traitées dans le cadre du présent contrat
- veiller à ce que les personnes autorisées à traiter les
données à caractère personnel en vertu du présent
contrat :
- s’engagent à respecter la confidentialité ou soient
soumises à une obligation légale appropriée de
confidentialité
- reçoivent la formation nécessaire en matière de
protection des données à caractère personnel
- prendre en compte, s’agissant de ses outils, produits,
applications ou services, les principes de protection des
données dès la conception et de protection des données
par défaut.
Le sous-traitant peut faire appel à un autre sous-traitant
(ci-après, « le sous-traitant ultérieur ») pour mener des
activités de traitement spécifiques. Dans ce cas, il
informe le responsable de traitement de tout
changement envisagé concernant l’ajout ou le
remplacement d’autres sous-traitants. Cette information
doit indiquer clairement les activités de traitement sous-
traitées, l’identité et les coordonnées du sous-traitant.
Cette sous-traitance ne peut être effectuée que si le
responsable de traitement n'a pas émis d'objection.
Le sous-traitant ultérieur est tenu de respecter les
obligations du présent contrat pour le compte et selon
les instructions du responsable de traitement. Il
appartient au sous-traitant initial de s’assurer que le
sous-traitant ultérieur présente les mêmes garanties
suffisantes quant à la mise en œuvre de mesures
techniques et organisationnelles appropriées de manière
à ce que le traitement réponde aux exigences du
règlement européen sur la protection des données. Si le
sous-traitant ultérieur ne remplit pas ses obligations en
matière de protection des données, le sous-traitant
initial demeure pleinement responsable devant le
responsable de traitement de l’exécution par l’autre
sous-traitant de ses obligations.
- Droit d’information des personnes concernées
Il appartient au responsable de traitement de fournir
l’information aux personnes concernées par les
opérations de traitement au moment de la collecte des
données.
- Exercice des droits des personnes
Dans la mesure du possible, le sous-traitant doit aider le
responsable de traitement à s’acquitter de son
obligation de donner suite aux demandes d’exercice des
droits des personnes concernées : droit d’accès, de
rectification, d’effacement et d’opposition, droit à la
limitation du traitement, droit à la portabilité des
données, droit de ne pas faire l’objet d’une décision
individuelle automatisée
Lorsque les personnes concernées exercent auprès du
sous-traitant des demandes d’exercice de leurs droits, le
sous-traitant doit adresser ces demandes dès réception
par courrier électronique au responsable du traitement.
- Notification des violations de données à caractère
personnel
Le sous-traitant notifie au responsable de traitement
toute violation de données à caractère personnel dans
un délai maximum de 72 heures. Cette notification se
fera sous forme de mailing envoyé par le sous-traitant au
responsable de traitement. Cette notification est
accompagnée de toute documentation utile afin de
permettre au responsable de traitement, si nécessaire,
de notifier cette violation à l’autorité de contrôle
compétente.
Le sous-traitant aide le responsable de traitement pour
la réalisation d’analyses d’impact relative à la protection
des données. Le sous-traitant aide le responsable de
traitement pour la réalisation de la consultation
préalable de l’autorité de contrôle.
- Mesures de sécurité
Le sous-traitant s’engage à mettre en œuvre les
mesures de sécurité suivantes :
- Identification sur les plates formes du sous-traitant par
des mot de passe sécurité par méthode de salage
cryptographique.
- Sort des données
Au terme de la prestation de services relatifs au
traitement de ces données, le sous-traitant s’engage à
renvoyer toutes les données à caractère personnel au
responsable de traitement.
- Registre des catégories d’activités de traitement
Le sous-traitant déclare tenir par écrit un registre de
toutes les catégories d’activités de traitement effectuées
pour le compte du responsable de traitement
comprenant :
- le nom et les coordonnées du
responsable de traitement pour le compte duquel il agit,
des éventuels sous-traitants et, le cas échéant, du
délégué à la protection des données ;
- les catégories de traitements effectués pour le compte
du responsable du traitement;
- le cas échéant, les transferts de données à caractère
personnel vers un pays tiers ou à une organisation
internationale, y compris l'identification de ce pays tiers
ou de cette organisation internationale et, dans le cas
des transferts visés à l'article 49, paragraphe 1,
deuxième alinéa du règlement européen sur la
protection des données, les documents attestant de
l'existence de garanties appropriées;
- dans la mesure du possible, une description générale
des mesures de sécurité techniques et organisationnelles
- Documentation
Le sous-traitant met à la disposition du responsable de
traitement la documentation nécessaire pour démontrer
le respect de toutes ses obligations et pour permettre la
réalisation d'audits, y compris des inspections, par le
responsable du traitement ou un autre auditeur qu'il a
mandaté, et contribuer à ces audits.
III. Obligations du responsable de traitement vis-à-vis du
sous-traitant
Le responsable de traitement s’engage à :
- fournir au sous-traitant les données visées au II des
présentes clauses
- documenter par écrit toute instruction concernant le
traitement des données par le sous-traitant
- veiller, au préalable et pendant toute la durée du
traitement, au respect des obligations prévues par le
règlement européen sur la protection des données de la
part du sous-traitant
- superviser le traitement, y compris réaliser les audits
et les inspections auprès du sous-traitant