Accord sur le traitement des données
Conformément à l’article 28 (3) du Règlement (UE) 2016/679 du Parlement européen et du Conseil (le GDPR) dans le but de réglementer le traitement des données personnelles par les Processeurs de données, cet Accord de Traitement des Données (ATD) est une annexe aux Conditions de service entre la Plateforme Ageras et l’Abonné.
L’ ATD est considéré comme signé par le responsable du traitement des données lors de la signature des conditions de service.
Le Responsable du traitement des données désigne la Plateforme Ageras, telle que définie dans les conditions de service, c’est-à-dire la société du groupe Ageras avec laquelle le client a conclu les conditions de service.
Le contrôleur des données désigne le client de la Plateforme Ageras.
La version actuelle de ce document est applicable à partir du 2024-08-29. Les versions précédentes peuvent être consultées ici.
1. Introduction
En utilisant les Services et toutes les fonctions supplémentaires disponibles ou l’intégration en relation avec la plateforme (ci-après dénommés les “Services”), le Responsable du traitement des données sera responsable du traitement des données à caractère personnel sur la plateforme.
Le Responsable du traitement des données traite les données à caractère personnel pour le compte et sur instruction du Contrôleur des données.
Le présent accord sur le traitement des données est conclu par les parties afin qu’elles se conforment à la législation nationale sur la protection des données, y compris le GDPR, ainsi qu’à la protection de la vie privée et des droits fondamentaux des personnes physiques. L’accord sur le traitement des données décrit les instructions selon lesquelles le Responsable du traitement des données traite les données à caractère personnel pour le compte du Contrôleur des données.
Le Responsable du traitement des données traite les données à caractère personnel uniquement en conformité avec sa politique en matière de données à caractère personnel.
L’accord sur le traitement des données utilise les définitions énoncées dans la législation nationale sur la protection des données et dans le GDPR.
2. Les responsabilités et obligations du Contrôleur des données
Le Contrôleur des données est chargé de veiller à ce que le traitement des données à caractère personnel se déroule conformément au GDPR, cf. article 24, et aux règles nationales en matière de protection des données.
Le Contrôleur des données a le droit et l’obligation de prendre des décisions concernant les finalités et les outils techniques utilisés pour le traitement des données à caractère personnel. En outre, le Contrôleur des données est chargé de garantir une base juridique pour le traitement et le transfert de données à caractère personnel que le sous-traitant est chargé d’effectuer.
En tant que contrôleur des données, le Contrôleur des données doit remplir toutes les obligations d’information à l’égard des personnes concernées concernant le traitement de leurs données à caractère personnel, ainsi que fournir les garanties pertinentes concernant toutes les mesures techniques et de sécurité destinées à protéger les données à caractère personnel des personnes concernées.
En utilisant la plateforme, le Contrôleur des données a la responsabilité de fournir uniquement les données personnelles spécifiées dans l’annexe A, et de limiter le traitement des données en dehors de la spécification, y compris les catégories spéciales de données personnelles telles que spécifiées dans l’article 9 du GDPR.
Le Contrôleur des données donne son consentement explicite au Responsable du traitement des données en tant que fournisseur de services d’information sur les comptes et pour fournir les services inclus dans le présent titre, cf. article 87 de la loi danoise sur les paiements. Le consentement est nécessaire pour que le Responsable du traitement des données puisse procéder au traitement des données à caractère personnel liées au service proposé et choisi par le Contrôleur des données. Le Contrôleur des données peut révoquer le consentement à tout moment, et la révocation de ce consentement entraîne la résiliation simultanée de l’accord de service concernant le fournisseur de services d’information sur les comptes.
3. Les responsabilités et obligations du responsable du traitement des données
Le Responsable du traitement des données ne peut traiter les données personnelles que sur instructions documentées du Contrôleur des données, et les traite pour le compte du Contrôleur des données. Le Contrôleur des données donne instruction au Responsable du traitement des données de traiter les données à caractère personnel i) conformément à la législation applicable, ii) pour remplir ses obligations énoncées dans l’accord entre le Contrôleur des données et le Responsable du traitement des données et iii) comme décrit dans le présent accord.
Le Responsable du traitement des données est chargé de notifier le Contrôleur des données si, de l’avis du Responsable du traitement des données, une instruction est contraire au GDPR ou à la législation nationale en matière de protection des données. Les instructions décrites dans le présent Accord ne donnent aucune raison de croire que la législation applicable empêche un tel traitement de données à caractère personnel.
Si le Responsable du traitement des données estime qu’une instruction du Contrôleur des données est illégale ou contraire à la législation applicable, il est tenu d’en informer le Contrôleur des données, qui doit rectifier l’instruction en temps utile. Si le Contrôleur des données n’est pas en mesure de rectifier l’instruction, le Responsable du traitement des données a le droit de mettre fin à l’accord de service entre les parties.
Le Responsable du traitement des données aide le Contrôleur des données à mettre en place les mesures techniques et de sécurité possibles en fonction de la nature du traitement et de la catégorie de données à caractère personnel.
En outre, le Responsable du traitement des données aide le Contrôleur des données à répondre aux demandes des personnes concernées concernant l’exercice de leurs droits en vertu du GDPR. Le Responsable du traitement des données ne répond pas à ces demandes sans l’autorisation du Contrôleur des données.
À la demande du Contrôleur des données concernant des informations ou une assistance relatives aux mesures de sécurité du Contrôleur des données ou au traitement des données à caractère personnel en général, et si cette demande va au-delà de ce qui est nécessaire conformément à la législation applicable en matière de protection des données, le Responsable du traitement des données a le droit de réclamer des paiements pour ces services supplémentaires.
Le Responsable du traitement des données garantit la confidentialité du traitement des données à caractère personnel, y compris des employés du Contrôleur des données. Cette disposition s’applique après la résiliation de l’accord sur le traitement des données.
4. L’utilisation de sous-traitants
Le Responsable du traitement des données doit remplir les conditions énoncées à l’article 28, (2) et (4), du RGPD pour pouvoir faire appel à un autre responsable du traitement des données (sous-traitants).
Le Responsable du traitement des données utilise des sous-traitants pour offrir les services du Responsable du traitement des données. Les sous-traitants peuvent être des sociétés du groupe du Responsable du traitement des données, dont ce dernier fait partie, ou des tiers, tant à l’intérieur qu’à l’extérieur de l’UE/EEE.
Le Responsable du traitement des données fera appel à des sous-traitants au sein du Groupe Ageras afin de fournir les services demandés par le Contrôleur des données. Toutes les entités du Groupe Ageras sont soumises aux mêmes garanties que la Plateforme Ageras et aux instructions, obligations et garanties énoncées dans le présent Accord sur le traitement des données.
Le Responsable du traitement des données a conclu des accords de traitement des données avec tous les sous-traitants, dont une liste exhaustive figure à l’annexe B. Le Responsable du traitement des données veille à ce que tous les sous-traitants secondaires se conforment aux obligations et exigences correspondantes du présent accord de traitement des données et à la législation sur la protection des données. En outre, tous les sous-traitants secondaires sont soumis à la politique du Responsable du traitement en matière de données à caractère personnel.
Le présent accord sur le traitement des données constitue l’approbation préalable du Contrôleur des données quant à l’utilisation de sous-traitants ultérieurs, conformément à l’article 28, (2).
Le Responsable du traitement des données transfère des données à des partenaires dans le cadre du service fourni au Contrôleur des données. En acceptant les termes de l’accord de service, le Contrôleur des données est informé que les partenaires du Responsable du traitement des données recevront les données personnelles afin de fournir une offre à la demande de service du Contrôleur des données.
Lors du transfert de données personnelles en dehors de l’UE/EEE, le Responsable du traitement des données garantit un niveau de protection suffisant, ainsi qu’une base juridique pour le transfert grâce à l’utilisation des contrats types de la Commission européenne.
Si le Responsable du traitement des données change de sous-traitant, le Contrôleur des données en sera informé et aura le droit de s’opposer à ce changement de sous-traitant si le nouveau sous-traitant ne traite pas les données à caractère personnel conformément à la législation applicable en matière de protection des données. L’opposition à l’utilisation d’un sous-traitant ultérieur doit être considérée comme une résiliation de tous les accords entre le Contrôleur des données et le Responsable du traitement des données, y compris l’accord de service entre les parties.
Les éventuels sous-traitants auront, dans le cadre d’accords distincts sur le traitement des données, les mêmes responsabilités et obligations que celles énoncées dans le présent accord sur le traitement des données.
Le Responsable du traitement des données est chargé d’exiger que les sous-traitants respectent les obligations du Contrôleur des données telles qu’elles sont énoncées dans le présent accord sur le traitement des données, ainsi que dans le GDPR.
Sur demande du Contrôleur des données, le Responsable du traitement des données doit fournir des copies des accords de traitement des données avec les sous-traitants du Responsable du traitement des données, y compris toute modification apportée à ces accords. De cette manière, le Contrôleur des données s’assure que le Responsable du traitement des données respecte le présent accord sur le traitement des données.
En cas de violation des règles de protection des données par l’un des sous-traitants, le Responsable du traitement des données est entièrement responsable des obligations des sous-traitants envers le Contrôleur des données .
5. La confidentialité
Le Responsable du traitement des données ne peut accorder l’accès aux données à caractère personnel traitées pour le compte du Contrôleur des données qu’aux personnes placées sous l’autorité du Responsable du traitement des données qui se sont engagées à respecter la confidentialité.
À la demande du Contrôleur des données, le Responsable du traitement des données doit démontrer les mesures de confidentialité prises à l’égard des personnes concernées.
6. Sécurité du traitement
Conformément à l’article 32, le Contrôleur des données et le Responsable du traitement des données mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adéquat. Lors de cette mise en œuvre, les deux parties peuvent tenir compte de l’état de la technique ainsi que de la nature, de la portée et des finalités du traitement des données à caractère personnel.
Les deux parties doivent évaluer les risques pour les droits et libertés des personnes physiques inhérents au traitement. Des mesures de sécurité adaptées à ces risques doivent être mises en œuvre par les deux parties conformément à leur évaluation.
Le Responsable du traitement des données aide le Contrôleur des données à assurer le respect des obligations prévues à l’article 32 du GDPR.
7. Transfert de données à caractère personnel vers des pays tiers ou des organisations internationales
Tout transfert de données à caractère personnel vers des pays tiers ou des organisations internationales n’est effectué que par le Responsable du traitement des données, sur instructions documentées du Contrôleur des données, et toujours en conformité avec le chapitre V du GDPR.
Le Responsable du traitement des données a le droit de procéder à des transferts de données à caractère personnel si cela est nécessaire conformément à la législation européenne ou nationale. Le Contrôleur des données est informé de ce transfert, à moins que cette information ne soit pas appropriée pour des raisons d’intérêts sociétaux importants, y compris les obligations légales auxquelles le Responsable du traitement des données est ou sera soumis.
Le Responsable du traitement des données doit documenter les instructions du Contrôleur des données pour les activités de traitement suivantes :
- Transfert de données à caractère personnel à un responsable du traitement ou à un contrôleur des données dans un pays tiers ou à une organisation internationale
- Confier le traitement des données à caractère personnel à un sous-traitant dans un pays tiers
- Traitement des données personnelles dans un pays tiers
Le présent Accord sur le traitement des données inclut l’utilisation par le Responsable du traitement des données de sous-traitants placés dans des pays tiers et, en signant l’Accord sur le traitement des données, le Contrôleur des données accepte cette utilisation de sous-traitants. Le traitement dans des pays tiers implique que le Responsable du traitement s’assure de la conformité avec le présent Accord sur le traitement des données, ainsi qu’avec la législation européenne sur la protection des données, et garantit des mesures de sécurité et des évaluations des risques pour un tel traitement.
Le Responsable du traitement des données est chargé d’assurer une base juridique pour le transfert, comme indiqué au chapitre V du GDPR, et d’assurer les accords nécessaires conformément à cela. Dans le cadre de la construction applicable au traitement des données, le Responsable du traitement des données transfère des données à caractère personnel vers des pays tiers dans le cadre du service qu’il offre et fournit au Contrôleur des données à la demande de ce dernier. Ce service comprend l’utilisation de différents logiciels que le Responsable du traitement des données a choisi d’utiliser.
Le Responsable du traitement des données a conclu des accords de traitement des données avec tous les sous-traitants et s’est assuré de toutes les garanties nécessaires au respect de la législation sur la protection des données lorsque les données sont traitées en dehors de l’UE/EEE.
8. Assistance au contrôleur des données
Le Responsable du traitement des données aide, en tenant compte de la nature du traitement, le Contrôleur des données à s’acquitter des obligations qui lui incombent en vertu de la législation sur la protection des données. Cela s’applique en particulier aux demandes concernant l’exercice des droits des personnes concernées, y compris le devoir d’information envers les personnes concernées, ainsi que le droit de rectification, d’effacement, de limitation et d’opposition.
En outre, le Responsable du traitement des données aide le Contrôleur des données à signaler les manquements à la sécurité à l’Agence danoise de protection des données, y compris la notification à la personne concernée, à effectuer une analyse des conséquences des activités de traitement et de leurs conséquences pour la protection des données à caractère personnel, ainsi qu’à adresser à l’Agence danoise de protection des données des demandes concernant les résultats à haut risque d’une telle analyse.
9. Notification des violations de la sécurité en matière de protection des données
Le Responsable du traitement des données est tenu de notifier au Contrôleur des données les violations de la sécurité de la protection des données dans un délai raisonnable après que le Responsable du traitement des données a pris connaissance de la violation.
La notification du Responsable du traitement des données au contrôleur des données doit avoir lieu dans les 24 heures suivant la violation, si possible, afin que le contrôleur des données puisse remplir ses obligations vis-à-vis de l’Agence danoise de protection des données, y compris le rapport ci-joint. Le Responsable du traitement des données assiste le Contrôleur des données dans la rédaction du rapport à l’Agence.
10. Effacement et restitution des données à caractère personnel
À la fin du service qui comprend le traitement de données à caractère personnel, le Responsable du traitement des données est tenu d’effacer toutes les données à caractère personnel traitées pour le compte du Contrôleur des données, et de confirmer au Contrôleur des données que les données à caractère personnel ont été effacées.
Ce qui précède ne s’applique pas si la législation européenne ou nationale exige la conservation des données à caractère personnel après la cessation du service. En outre, ce qui précède ne s’applique pas aux données à caractère personnel traitées par le Responsable du traitement des données en tant que Contrôleur des données dans le cadre de la relation client entre les parties. Cela inclut le stockage conformément à la législation spéciale, y compris la législation danoise sur la comptabilité.
11. Révision et inspection
Le Responsable du traitement des données fournit au Contrôleur des données toutes les informations nécessaires pour documenter le respect de la législation sur la protection des données et contribue à la révision et aux inspections menées par le Contrôleur des données ou d’autres personnes autorisées par le Contrôleur des données.
En outre, le Responsable du traitement des données est tenu de donner à l’Agence danoise de protection des données ou à ses représentants l’accès aux installations physiques, sous réserve d’une légitimation en bonne et due forme, et lorsque la législation applicable prescrit un tel accès.
12. Autres accords entre les parties
Les parties peuvent convenir d’autres dispositions concernant le service fourni par le Responsable du traitement des données au Contrôleur des données, à condition que ces dispositions ne contredisent pas, directement ou indirectement, les dispositions du présent accord relatives au traitement des données à caractère personnel, ou ne portent pas atteinte d’une autre manière aux droits fondamentaux des personnes concernées stipulés dans la législation relative à la protection des données.
13. Entrée en vigueur et résiliation
Les dispositions du présent accord sur le traitement des données entrent en vigueur à la date de signature des Conditions de service entre les parties.
L’accord sur le traitement des données est applicable pour la durée de l’accord de service. Au cours de cette période, l’accord ne peut être résilié par aucune des parties, à moins que l’accord de service ne soit résilié simultanément. La résiliation de l’accord de service peut avoir lieu conformément à la disposition relative à la résiliation de l’accord de service.
Le présent accord est régi par le droit danois et tout litige sera soumis à la justice danoise.
Annexe A – Catégories de données à caractère personnel et personnes concernées
A.1. Catégories de personnes concernées
a. Personne(s) de contact du Contrôleur des données
b. Employés du Contrôleur des données
c. Clients et fournisseurs du Contrôleur des données et leur(s) personne(s) de contact
A.2. Catégories de données à caractère personnel
a. Nom et prénom
b. Titre du poste
c. Numéro de téléphone
d. Adresse électronique
e. Adresse
f. Adresses IP
g. Informations relatives au paiement sur la facture
h. Informations sur les relevés bancaires
i. Données sur la vie professionnelle
j. Données de paie (lors de l’utilisation des fonctions de paie)
k. Numéros d’identification personnels des employés (données personnelles confidentielles) (lors de l’utilisation des fonctions de paie ou du calcul de l’impôt sur le revenu dans certains pays)
Le Responsable du traitement des données ne traite pas de catégories spéciales de données à caractère personnel à moins que le Contrôleur des données ne lui en donne l’instruction expresse.
Dans le cas où le traitement de catégories spéciales de données à caractère personnel ne ferait pas naturellement partie des catégories susmentionnées, le Contrôleur des données est invité à rendre les données anonymes avant de donner accès au Responsable du traitement des données, comme indiqué dans le présent accord.
A.3. Finalités du traitement des données à caractère personnel
a. Envoi de factures aux clients du Contrôleur des données
b. Envoi de rappels aux clients du Contrôleur de données
c. Garder une vue d’ensemble des fournisseurs et maintenir l’équilibre avec ceux-ci
d. Tenir le stock des produits achetés et vendus
e. Fournir un historique des factures et des paiements pour l’activité du Contrôleur de données
f. Prévoir des procédures de rappel automatique
g. Proposer différents rapports et aperçus sur les activités du Contrôleur des données
h. Recevoir les paiements des clients du Contrôleur de données
i. Envoi de rappels aux clients du Contrôleur de données
j. Initier le paiement des factures reçues par le Contrôleur des données.
k. Intégrer des systèmes tiers
l. Tenir un registre des dépenses
m. Automatiser la rédaction du compte annuel
n. Préparer les rapports de TVA
o. Intégrer le compte de dépenses à la comptabilité
p. Stocker les documents comptables
q. Calculs de l’impôt
r. Préparer les rapports fiscaux
s. Fonctions bancaires générales
t. Gestion des fiches de paie et des paiements mensuels
u. Déclaration et paiement mensuels des impôts et de la sécurité sociale
v. Marketing des services comptables
La nature du traitement comprend la collecte, le stockage, la structuration, l’extraction, l’utilisation, l’analyse, la divulgation par transmission, l’effacement et la destruction.
Les données à caractère personnel seront traitées pendant toute la durée de la relation avec le client, jusqu’à la résiliation des conditions de service par le Responsable du traitement des données ou le Contrôleur des données. Après la résiliation des conditions de service, les données à caractère personnel seront stockées conformément à la période de conservation du Responsable du traitement des données.
Annexe B – Sous-traitants du Responsable du traitement des données
Outre les sociétés du groupe Ageras, le Responsable du traitement des données dispose des sous-traitants suivants qui traitent les données au nom du Contrôleur des données :
| Sous-traitant | Adresse | Objectif |
| ActiveCampaign LLC | 1 North Dearborn St., 5th Floor Chicago, IL 60602, États-Unis | Envoi de courriers électroniques de marketing aux clients. |
| Aiia A/S | Artillerivej 86, 2300 Copenhague S, Danemark | Connecte les comptes bancaires aux services pour le transfert automatique d’informations. |
| Amazon Web Services EMEA SARL | 38 Avenue John F. Kennedy, L-1855 Luxembourg | L’infrastructure cloud qui supporte les services, stocke les données des clients, effectue des sauvegardes et fournit des services. |
| Cluvio GmbH | Friedrichstrasse 79 Berlin, 10117, Allemagne | Visualisation des données et utilisation pour les rapports internes. |
| Datadog Inc. | 620 8th Avenue, 45th floor New York, NY 10018 | Supervise les systèmes critiques et signale les erreurs de système. |
| Google Limited Irlande | Gordon House, Barrow Street Dublin 4, Irlande | Création et synchronisation de documents, stockage cloud, campagnes de marketing et fonctions d’analyse. |
| Hotjar Ltd. | Dragonara Business Centre, 5th Floor, Dragonara Road, Paceville St Julian’s STJ 3141, Malta | Analyser le comportement des clients sur la plateforme. |
| Intercom Inc. | 55 Second Street, Suite 400 San Francisco, CA 94105, États-Unis | Traite les demandes d’assistance à la clientèle, communique avec les clients. |
| Iterable Inc. | 71 Stevenson St., Suite 300 San Francisco, CA 94105, États-Unis | Envoi de courriels aux clients, principalement des communications marketing et des mises à jour du service. |
| Mixpanel International Inc. | One Front Street, 28th Floor San Francisco CA 94111, États-Unis | Fournit des analyses sur les événements de la plateforme, par exemple le suivi du nombre d’utilisateurs de fonctions spécifiques. |
| Postmark par ActiveCampaign, LLC | 1 North Dearborn St, 5th Floor, Chicago, IL 60602, États-Unis | Envoi automatisé de courriels de service aux clients, par exemple pour confirmer l’envoi de matériel, de factures, etc. |
| ProductBoard, Inc. | 612 Howard Street, 4th floor, San Francisco, CA 94105, États-Unis | Recueillir les réactions des clients. |
| Sentry | 45 Fremont Street, 8th Floor San Francisco, CA 94105, États-Unis | Contrôler la plateforme pour vérifier qu’elle ne contient pas d’erreurs et qu’elle n’est pas dangereuse. |
| Userflow Inc. | 548 Market St PMB 69598, San Francisco, CA 94104-5401, USA | Permet de communiquer avec les clients directement sur la plateforme. |
| Cookiebot par Usercentrics | c/o Usercentrics A/S, Havnegade 39, 1058 Copenhague, Danemark | Gestion du consentement sur le site web. |
| Meta Platforms Ireland Limited | Merrion Road, Dublin 4, D04 X2K5, Irlande | Publicité sur Facebook dans le but de créer des audiences d’utilisateurs susceptibles d’être intéressées par les services que nous fournissons. |
| Microsoft Ireland Operations Limited | One Microsoft Place South County Business Park Leopardstown, Dublin 18 D18 P521, Irlande | Publicité sur Bing et LinkedIn dans le but de créer des audiences d’utilisateurs susceptibles d’être intéressés par les services que nous fournissons. |
| UltimateAI par Culinar Oy | Lapinlahdenkatu 16, 00180 Helsinki, Finlande | Plateforme pilotée par l’IA qui améliore les opérations de support client en automatisant les réponses et en rationalisant les interactions par le biais de chatbots et d’assistants virtuels. |
| Basware Inc. | Linnoitustie 2, 02600 Espoo, Finlande. | Fournit l’infrastructure nécessaire à l’envoi et à la réception de factures électroniques. |
| Stripe Inc. | 354 Oyster Point Boulevard, South San Francisco, California, 94080, United States | Traitement des paiements |
| Aircall.io Inc. | 44 W 28th Street, 14th Floor, New York, NY 10001, États-Unis | Système téléphonique basé sur le cloud conçu pour les entreprises afin de gérer leurs appels et d’améliorer leur support client et leurs opérations de vente grâce à des fonctions de communication intégrées. |
| Snowflake Inc. | Suite 3A, 106 East Babcock Street, Bozeman, Montana 59715, États-Unis | Snowflake est une technologie de stockage de données utilisée principalement pour générer des rapports financiers internes. |
| Segment de Twilio Inc. | 101 Spear Street, 5th Floor, San Francisco, California, 94105, United States | Segment est un système d’événements interne. Nous avons défini une série d’actions de l’utilisateur, au cours desquelles nous envoyons des événements à Segment. Segment veille à ce que ces événements soient acheminés vers d’autres parties de notre système. |
| Zapier Inc. | 548 Market St. #62411, San Francisco, CA 94104, États-Unis | Outil d’automatisation qui relie différentes applications web afin d’automatiser des tâches répétitives sans avoir à écrire de code. |
| MongoDB Inc. Atlas | 1633 Broadway, 38th Floor New York, NY 10019, États-Unis | Environnement hébergé NoSQL, base de données orientée documents conçue pour de hautes performances, une grande disponibilité et une évolutivité aisée, utilisée pour stocker les données relatives aux paramètres de l’entreprise. |
| Mailgun par Sinch Sweden AB | Lindhagensgatan 112, 112 51 Stockholm, Suède | Envoi automatisé de courriels de service aux clients, par exemple pour confirmer l’envoi de matériel, de factures, etc. |
| Fivetran Inc. | 1221 Broadway Street, Floor 20, 2400 Oakland, CA 94612, États-Unis | Plateforme d’intégration des données pour rationaliser le processus d’intégration des données et permettre une analyse plus efficace des données et des activités de veille stratégique. |
| Cookie Information A/S | Købmagergade 19 1150 Copenhague, Danemark | Gestion du consentement sur le site web. |
Annexe C – Les instructions pour le traitement des données à caractère personnel
C.1 L’instruction pour le traitement
Le traitement des données à caractère personnel par le Responsable du traitement des données pour le compte du Contrôleur des données est effectué par le Responsable du traitement des données selon les modalités suivantes :
Le Responsable du traitement des données fournit aux entreprises un service d’administration des aspects financiers de leur activité. Cela comprend la facturation, la comptabilité, les opérations bancaires et les salaires, ainsi que les activités qui y sont liées.
Le Responsable du traitement des données traite ces données pour le compte du Contrôleur des données et afin de respecter les conditions de service entre les parties, cf. article 6, paragraphe 1, point b), ainsi que l’intérêt légitime du Contrôleur des données conformément à l’article 6, paragraphe 1, point f), et la gestion des activités du Contrôleur des données.
Le Responsable du traitement des données traite les données comme indiqué dans le présent accord dans le but de fournir le service que le Contrôleur des données a acheté au Responsable du traitement des données. Ce traitement comprend la fourniture d’une plateforme pour ces services et l’exécution du contrat et du produit acheté auprès du Responsable du traitement des données.
Tout autre traitement des données à caractère personnel incluses dans le Service doit faire l’objet d’un accord écrit entre les Parties et sera soumis aux conditions et aux politiques de confidentialité du Responsable du traitement des données. Les données traitées dans le cadre du Service le sont toutefois uniquement sur instruction du Contrôleur des données .
C.2 Sécurité du traitement
Le niveau de sécurité prend en compte le volume de données à caractère personnel par rapport au service fourni par le Responsable du traitement au Contrôleur des données, en tenant compte du fait que la quantité de données à caractère personnel est plus faible alors que la quantité d’informations sensibles sur les entreprises est plus élevée. En règle générale, le traitement des données à caractère personnel n’inclut pas les catégories spéciales de données à caractère personnel. En fonction du rôle du Contrôleur des données, des catégories particulières de données peuvent être traitées dans le cadre du service fourni par le Responsable du traitement des données.
Toutefois, le Responsable du traitement des données est chargé de mettre en œuvre des mesures de sécurité pour éviter tout accès non autorisé aux données à caractère personnel. Ces mesures comprennent une sauvegarde continue en cas d’incidents techniques, ainsi que des pare-feu et des protections similaires pour les modules d’extension et les liens commerciaux où les données sont traitées.
Compte tenu de la portée des données à caractère personnel, le Responsable du traitement des données crypte les données lorsque cela s’avère approprié, y compris, mais sans s’y limiter, lors de la transmission.
En outre, le Responsable du traitement est invité à pseudonymiser des catégories particulières de données à caractère personnel lorsque le traitement de ces données est nécessaire pour que le Contrôleur des données puisse bénéficier du service fourni par le Responsable du traitement des données. La sécurité du traitement en est le reflet.
C.3. Assistance au contrôleur des données
Le Responsable du traitement des données doit, dans la mesure où cela est possible dans le cadre de l’assistance spécifiée ci-dessous, assister le Contrôleur des données conformément à la clause 8. Les mesures techniques et organisationnelles à mettre en œuvre par le Responsable du traitement des données comprennent la confidentialité organisationnelle, le cryptage des données pendant la transmission, la sécurité relative à la limitation de l’accès aux données lorsqu’elles sont stockées et des mesures similaires lorsque cela est jugé approprié.
C.4 Période de stockage et procédures d’effacement
Le Responsable du traitement des données efface les données traitées lorsqu’elles ne sont plus nécessaires à leur finalité, y compris au moment de la résiliation des Conditions de service entre les parties. Le Responsable du traitement des données peut conserver les données à caractère personnel plus longtemps si la législation de l’Union ou la législation nationale à laquelle le Responsable du traitement des données est soumis l’y oblige. Étant donné qu’il existe une relation de clientèle entre les parties, le Responsable du traitement des données est autorisé à conserver les données relatives à cette relation pendant trois ans après la fin de la relation.
C.5. Lieu de traitement
Le traitement des données à caractère personnel dans le cadre du présent accord ne peut être effectué dans d’autres lieux que les installations du Responsable du traitement des données, y compris les sous-traitants du Responsable du traitement des données. Tout traitement en dehors de ces lieux doit être autorisé par le Contrôleur des données avant le traitement.
Le recours à des sous-traitants peut entraîner le transfert de données en dehors des pays tiers. Dans ce cas, le Responsable du traitement des données s’est assuré de la conformité avec le GDPR par le biais d’accords de traitement des données, ainsi que de mesures techniques et organisationnelles visant à garantir la sécurité du traitement. Le Responsable du traitement des données s’est assuré de l’existence d’une base juridique sur laquelle repose le transfert, ainsi que des mesures supplémentaires requises pour remplir les garanties liées à la sécurité.
C.6 Procédures d’inspection et d’audit du contrôleur des données
À la demande du Contrôleur des données, le Responsable du traitement des données doit obtenir un rapport d’inspection d’un tiers indépendant concernant le respect par le Responsable du traitement des données du GDPR, de la législation de l’Union et de la législation nationale, ainsi que du présent accord.
Le Responsable du traitement des données couvre ses propres frais à cet égard. Toutefois, le Contrôleur des données ne peut pas demander ces rapports à des moments et à des coûts qui ne sont pas raisonnables pour le Responsable du traitement des données.