Addenda au traitement des données de Zervant (ATD)
Le présent Addenda au Traitement des données (« ATD ») est une annexe au Contrat de Service existant entre Zervant et le Client, et fait l’objet de ses termes et conditions dans la mesure où ils ne sont pas convenus aux présentes. Il n’est juridiquement contraignant que dans le cadre du Contrat de Service entre Zervant et le Client. Le Contrat de Service et l’ensemble de ses annexes (y compris le présent ATD) sont collectivement dénommés le « Contrat ».
1. Définitions de l’ATD
Les définitions du Contrat de Service s’appliquent au présent ATD. De plus, les définitions suivantes s’appliquent aux fins du présent APD :
Les Données à caractère personnel désignent toute information relative à une personne physique identifiée ou identifiable (la personne concernée), que cette identification soit ou puisse être directe ou indirecte.
Les Données à caractère personnel du Client désignent les données à caractère personnel du Client ou autrement liées aux activités du Client.
Le traitement désigne les activités et actions qui concernent ou incluent des Données à caractère personnel telles que la collecte, l’enregistrement, l’organisation, le stockage, l’adaptation ou l’altération, la récupération ou l’utilisation.
Le Responsable du traitement des données désigne l’entité qui seule ou de concert détermine les objectifs et moyens du Traitement des données à caractère personnel.
La personne concernée désigne la personne physique dont les Données à caractère personnel sont traitées.
Le Sous-traitant désigne l’entité qui traite les Données à caractère personnel au nom et selon les instructions du Responsable du traitement.
La violation des Données désigne une défaillance de sécurité conduisant à la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé(e), de manière accidentelle ou illicite, des Données à caractère personnel transmises, stockées ou traitées.
Les lois applicables désignent les lois et pratiques découlant du Règlement Général sur la Protection des Données, la législation nationale appliquant ou complétant le Règlement Général sur la Protection des données, les réglementations et déclarations des autorités de contrôle, y compris le Contrôleur européen de la protection des données, et les actes de la Commission.
Le Sous-traitant désigne une entité qui traite les Données à caractère personnel conformément aux instructions du Sous-traitant en tant que sous-traitant ultérieur du Sous-traitant.
2. Finalité
Zervant fournit au Client les Services tels qu’identifiés dans le Contrat de Service. Dans le cadre de la fourniture des Services au Client conformément au Contrat de Service, Zervant peut traiter des Données à caractère personnel pour le compte du Client. L’objet du présent ATD est de convenir des termes et conditions applicables au traitement des Données à caractère personnel du Client dans le cadre des Services.
3. Obligations du client
3.1 Responsable du traitement des Données
Le Client est le Responsable du traitement des Données à caractère personnel du Client traitées en vertu du présent ATD et du Contrat de Service et il est responsable de la collecte, du traitement et de l’utilisation légale, et de l’exactitude des Données à caractère personnel du Client, ainsi que de la satisfaction des autres obligations légales d’un Responsable du traitement des données. Le Client est chargé d’informer les Personnes concernées des divulgations de leurs Données à caractère personnel et doit obtenir leur consentement à ces divulgations si nécessaire.
Le Client reconnait que le Sous-traitant ne peut contrôler et n’a pas l’obligation de vérifier les Données à caractère personnel du Client divulguées ou transférées au Sous-traitant pour être traitées au nom du Client lorsqu’il recourt aux Services. Le Client garantit et est tenu d’avoir la base légale adéquate pour transférer et divulguer les Données à caractère personnel du Client au Sous-traitant pour que le Sous-traitant puisse légalement traiter les Données à caractère personnel du Client comme convenu entre les Parties.
3.2 Instructions
Le Client confirme que les instructions du Client sur le Traitement des Données à caractère personnel du Client (« Instructions ») sont exhaustivement énoncées dans le Contrat. Au cas où le Client veut ultérieurement modifier ses Instructions, il doit essentiellement utiliser les fonctions offertes par les Services. Si ces fonctions ne suffisent pas à mettre en œuvre ces nouvelles Instructions, le Client doit contacter le Sous-traitant par écrit. Si la portée de ces nouvelles Instructions outrepasse les Services, le Sous-traitant est en droit de facturer au Client tous coûts supplémentaires découlant de la mise en œuvre de ces nouvelles Instructions. Les Instructions doivent être commercialement raisonnables, conformes aux lois applicables et cohérente avec le Contrat.
4. Obligations de Zervant
4.1 Sous-traitant des Données
Zervant est le Sous-traitant des Données à caractère personnel du Client traitées en vertu du Contrat. Zervant s’engage à respecter les lois applicables et les Instructions du Client pour tout Traitement des Données à caractère personnel du Client. Le Sous-traitant ne peut copier ou reproduire les Données à caractère personnel du Client ou traiter d’une quelconque autre manière les Données à caractère personnel du Client à d’autres fins que celles convenues sur tout Traitement dans le Contrat.
Le Sous-traitant doit informer le Client s’il pense raisonnablement que toute nouvelle Instruction du Client viole les lois applicables. Le Sous-traitant peut suspendre la mise en œuvre de ces nouvelles Instructions jusqu’à la modification ou la confirmation du Client. Le Client est toujours responsable en dernier ressort du respect des lois applicables par l’ensemble de ses Instructions. Le Sous-traitant est seulement obligé d’informer le Client s’il détecte des irrespects imminents des lois applicables dans les Instructions, mais il n’est pas obligé d’inspecter ou de vérifier le respect par les Instructions des lois applicables.
4.2 Assistance
Zervant accepte d’aider raisonnablement le Client à s’acquitter de ses obligations de Responsable du traitement des Données à caractère personnel du Client traitées par Zervant ci-après. Ces obligations peuvent consister à aider le Client à répondre aux requêtes ou enquêtes des autorités de contrôle compétentes, à mener des évaluations d’impact de protection des données et nécessitant une consultation préalable avec les autorités de contrôle, et à aider le Client à réaliser les demandes des Personnes concernées relativement à leurs droits en vertu des lois applicables.
S’agissant de l’assistance en réponse aux demandes d’une Personne concernée exerçant ses droits en vertu des lois applicables (comme le droit d’accès et le droit de rectification ou d’effacement), le Client doit d’abord utiliser les fonctions correspondantes des Services. Dans le cas et dans la mesure où le Client ne peut satisfaire cette demande par les fonctions des Services, Zervant doit fournir au Client une assistance commercialement raisonnable. Zervant a le droit de facturer tous frais supplémentaires raisonnables engagés dans cette assistance et le Client doit payer les frais supplémentaires facturés par Zervant.
Au cas où la Personne concernée, une autre personne ou une autorité de contrôle adresse une demande d’assistance directement à Zervant concernant les Données à caractère personnel du Client (telle qu’une demande d’accès, de rectification ou d’effacement, de transfert d’information ou d’exécution d’une autre action), Zervant doit informer le Client de cette demande dès que raisonnablement possible et tel que prévu par la loi applicable.
4.3 Transferts de données à caractère personnel
Zervant traite principalement les Données à caractère personnel du Client au sein de l’Espace Economique Européen (« EEE »). Afin de fournir ses Services, Zervant peut être amené à divulguer ou transférer les Données à caractère personnel du Client hors de l’EEE. Ces situations peuvent inclure des cas où les sous-traitants de Zervant ou leurs systèmes sont situés hors de l’EEE. Dans ces cas, Zervant doit mettre en place des garanties juridiques pour assurer la sécurité et la confidentialité des Données à caractère personnel du Client conformément aux lois applicables. Le Client admet et accepte les divulgations et transferts dans le cadre des Services. Zervant doit, à la demande du Client, fournir (au Client) des informations supplémentaires sur ces transferts et les garanties juridiques appliquées.
Le droit de Zervant de recourir à des Sous-traitants est décrit ci-dessous dans la section 6.
4.4 Délégué à la protection des données
Zervant a désigné un Délégué à l’information et à la confidentialité pour s’occuper des questions de protection des données. Si les lois applicables l’exigent, Zervant désigne un délégué à la protection des données, et doit communiquer les coordonnées correspondantes au Client, s’il les demande.
4.5 Salariés
Zervant se familiariser et forme ses salariés participant au Traitement Données à caractère personnel (y compris les Données à caractère personnel du Client) sur les exigences de protection et de confidentialité des données en vertu des lois applicables, et s’assurer que ces salariés s’engagent à la confidentialité adéquate ou aient une obligation légale de confidentialité adéquate. Lorsque le Client a donné des consignes spécifiques sur le Traitement des Données à caractère personnel du Client, Zervant doit former ses salariés participant au Traitement des Données à caractère personnel du Client sur leur contenu.
4.6 Sécurité
Zervant met en œuvre et maintient des mesures de sécurité techniques et organisationnelles pertinentes pour protéger toutes les Données à caractère personnel qu’il traite (y compris les Données à caractère personnel du Client). Zervant choisit ces mesures de sécurité à son entière discrétion sur la base p.ex. des normes sectorielles, des pratiques du marché et d’exigences spécifiques en vertu des lois applicables. Zervant peut périodiquement modifier ses mesures de sécurité, mais ne diminuera pas le niveau général de sécurité pendant la durée de l’ATD.
Zervant doit s’assurer en tout temps de la confidentialité, de l’intégrité, de la disponibilité et de la résilience des systèmes qu’il utilise pour le Traitement des Données à caractère personnel. Zervant doit régulièrement tester, examiner et évaluer l’efficacité des mesures de sécurité techniques et organisationnelles qu’il a mises en œuvre. Zervant s’engage à respecter les décisions réglementaires concernant les mesures de sécurité adéquates pour le Traitement des Données à caractère personnel.
Zervant doit notifier le Client sans retard excessif de tout incident de sécurité occasionnant une destruction, une perte, une altération, une divulgation ou un accès non autorisé(e), de manière accidentelle ou illégale, aux Données à caractère personnel du Client traitées par Zervant (« Incident de Sécurité »).
Cette notification d’un Incident de Sécurité doit au moins inclure tel que prévu par les lois applicables :
a) une description de la nature et de la portée de l’Incident de Sécurité, y compris si possible, les catégories et le nombre approximatif des Personnes concernées affectées par l’Incident de Sécurité ainsi que les catégories et le volume approximatif des Données à caractère personnel du Client affectées par l’Incident de Sécurité ;
b) le nom et les coordonnés du délégué à la protection des données de Zervant (si un délégué a été désigné) ou les autres interlocuteurs lorsque davantage d’informations peuvent être obtenues ;
c) une description des conséquences estimées de l’Incident de Sécurité ; et
d) une description des mesures que Zervant a prises ou entend prendre pour régler et réparer l’Incident de Sécurité, y compris les mesures prise pour atténuer ses effets négatifs potentiels.
Les informations susmentionnées sur l’Incident de Sécurité peuvent être fournies en plusieurs étapes si Zervant ne peut toutes les fournir simultanément au moment où il informe le Client de l’Incident de Sécurité. Zervant doit documenter tout Incident de Sécurité qu’il a subi conformément aux lois applicables.
5. Audit
Zervant doit tenir des registres spéciaux ou d’autres documents de son Traitement concernant les Données à caractère personnel du Client dans la mesure nécessaire en vertu des lois applicables. Sur demande, Zervant doit présenter au Client une copie de la partie pertinente des documents ou registres relative au Traitement des Données à caractère personnel du Client par Zervant.
Le Client ou un commissaire aux comptes tiers désigné par le Client peut auditer le respect par Zervant du présent ATD et des lois applicables relatives au Traitement des Données à caractère personnel du Client conformément aux termes du présent ATD. Le Client doit notifier à Zervant tout audit prévu dans les locaux de Zervant par écrit et toujours au moins vingt-et-un (21) jours à l’avance. Zervant créera une plateforme de test où le Client peut réaliser l’audit des Services de Zervant. Ces audits doivent principalement être réalisés par un commissaire aux comptes tiers indépendant et toujours durant les heures normales d’activité de Zervant sans causer de perturbations significatives des activités commerciales de Zervant.
Zervant fournira une copie de ses registres de Traitement des Données à caractère personnel du Client et tout autre documentation existante correspondante à l’audit et sur demande du Client, et accepte de prêter une assistance raisonnable aux audits du Client. Zervant se réserve le droit de facturer les efforts et coûts raisonnables découlant de tout document, service et assistance complémentaires demandés par le Client. Ceci comprend une rémunération suffisante des heures de travail du personnel de Zervant prêtant assistance à l’audit. Le Client est responsable de ses propres frais (y compris les honoraires du commissaire aux comptes tiers engagé) dans le cadre de ces audits.
Zervant accepte également d’autoriser les audits initiés et exécutés par des autorités de contrôle compétentes relativement à son Traitement des Données à caractère personnel du Client, et accepte de leur fournir des informations nécessaire sur ses activités de Traitement. Si Zervant reçoit une notification d’audit d’une autorité de contrôle compétente concernant le Traitement des Données à caractère personnel du Client, Zervant doit rapidement aviser le Client de cet audit prévu par l’autorité de contrôle.
6. Sous-traitants
Zervant recourt à des Sous-traitants dans le cadre de ses Services, dont certains participeront également au Traitement des Données à caractère personnel du Client. Le Client donne son autorisation générale et consent à autoriser Zervant à impliquer et recourir à ses sociétés apparentées et autres Sous-traitants pour traiter les Données à caractère personnel du Client dans le cadre de la prestation des Services dans la mesure où cette désignation n’occasionne pas le non-respect des lois applicables ou des obligations de Zervant en vertu du présent ATD. Zervant s’assure que les Sous-traitants impliqués soient dûment qualifiés, concluent un contrat de traitement des données avec Zervant, et respectent des obligations de traitement et de confidentialité des données au moins aussi importantes que celles convenues en vertu du présent ATD. Zervant doit régulièrement superviser l’exécution de ses Sous-traitants et il est responsable de leur travail envers le Client comme du sien. Sur demande du Client, Zervant accepte de fournir (au Client) une liste de ses Sous-traitants engagés dans le cadre des Services.
Zervant est libre de choisir et de changer de sous-traitants ultérieurs conformément aux termes du présent ATD et des lois applicables. Zervant doit toutefois informer le Client de changements importants de ses Sous-traitants. Si le Client considère à juste titre que ce changement de Sous-traitants de Zervant représente un risque pour ses Données à caractère personnel, il a le droit de faire connaître son opposition à ce changement de Sous-traitants de Zervant.
7. Responsabilité
En ce qui concerne le Traitement des Données à caractère personnel du Client dans le cadre du Contrat, les deux Parties sont responsables l’une envers l’autre des pertes et dommages directs causés par leurs violations du présent ATD ou des lois applicables à la Partie non défaillante (y compris notamment toutes sanctions administratives imposées par les autorités de contrôle compétentes). Aucune Partie n’est responsable de pertes ou dommages indirects ou consécutifs, y compris notamment de pertes de bénéfices, de revenus, de réputation ou de goodwill.
La responsabilité des Parties aux présentes fait l’objet du plafond de responsabilité convenu dans le Contrat.
8. Validité
Le présent ATD entre en vigueur à la date à laquelle le Règlement Général sur la Protection des données s’applique et reste valide jusqu’à la résiliation du Contrat.
Durant la période de trente (30) jours à compter de la résiliation du Contrat, Zervant met les Données à disposition du Client sans retard excessif à la demande du Client. Après la résiliation du Contrat, Zervant, sans retard excessif, doit détruire ou restituer au Client toutes les Données à caractère personnel du Client (ainsi que toutes copies), à moins d’être obligé de conserver les Données à caractère personnel du Client en raison des exigences de lois applicables à Zervant.