RGPD
Le présent document a pour objet définir les conditions générales de sous-traitance applicables à HÉLIANTIS pour les traitements réalisés dans le cadre de l’exécution des prestations souscrites par le CLIENT au titre du contrat.
HÉLIANTIS s’engagent à respecter, pour leurs Traitements de Données à Caractère Personnel, les lois relatives à la protection des Données à Caractère Personnel, notamment la loi n°78-17 du 6 janvier 1978 (ci-après « Loi Informatique et Libertés ») ainsi que le Règlement (UE) 2016/679 sur la protection des données (ci-après « RGPD »).
- Définitions
- Données à Caractère Personnel ou « DCP ». Désignent toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, communiquée à HÉLIANTIS ou qui lui est accessible pour les finalités liées à l’exécution du contrat.
- Données du CLIENT ou « Données »Désignent les informations, publications et, de manière générale, tout élément de la base de Données du CLIENT et pouvant comprendre des Données à Caractère Personnel.
- Législation pour les Données à Caractère Personnel » ou « Législation DCP ». Désigne la législation relative à la protection des Données à Caractère Personnel européenne en vigueur, notamment le règlement général relatif à la protection des données 2016/679 (RGPD), et nationale applicable, notamment la loi française n° 78-17 du 6 janvier 1978 modifiée, dite loi informatique et libertés.
- Responsable du traitement. Il s’agit, dans le cadre du contrat, du CLIENT dans la mesure où il détermine les finalités et les moyens du traitement.
- Sous-traitant. Il s’agit, dans le cadre du contrat, d’HÉLIANTIS dans la mesure où il traite des Données à Caractère Personnel pour le compte du Responsable du traitement.
- Sous-traitant ultérieur. Il s’agit, dans le cadre du contrat, de l’entité recrutée par le Sous-traitant pour mener des activités de traitement spécifiques pour le compte du Responsable de traitement.
- Obligations du CLIENT
- Le Client est seul responsable et garantit la qualité, la licéité et la pertinence des Données qu’il transmet aux fins d’Utilisation des Progiciels et au bénéfice des Services associés.
- Le Client demeure le seul propriétaire des Données du CLIENT transitant par les Services/Fonctionnalités.
- Le Client garantit à HÉLIANTIS que le traitement en cause satisfait aux exigences posées par la Législation DCP reposant sur le responsable de traitement, notamment que les principes de base d’un traitement, y compris les conditions applicables au consentement ou encore les droits des personnes sont respectés, que l’information requise aux personnes concernées par le traitement a bien été fournie au moment de la collecte des DCP.
- Le Client s’engage à documenter, par écrit, toute instruction concernant le traitement de DCP par HÉLIANTIS. Il donne à ce titre instruction à HÉLIANTIS d’effectuer les traitements décrits ci-après pour le ou les service(s) qu’il a souscrit(s).
- Le Client s’engage également à mettre à la disposition de HÉLIANTIS toute information nécessaire pour la bonne exécution de la sous-traitance.
- Le Client garantit HÉLIANTIS contre tout recours, plainte ou réclamation émanant d’une personne physique dont les DCP seraient traitées par HÉLIANTIS pour le compte du CLIENT et, en conséquence, à indemniser HÉLIANTIS de toute condamnation de ce chef. Dans ce cadre également, le CLIENT s’engage à ne pas réclamer à HÉLIANTIS une quelconque réparation dans le cas où il aurait été amené à réparer l’intégralité du dommage causé.
- Dans le cas où le Client héberge lui-même ses données, celui-ci s’engage à réaliser des sauvegardes régulières de ses données, afin de réduire au maximum l’impact éventuel résultant de l’atteinte à ses données du fait de l’utilisation des service fournis
- Documenter par écrit toute instruction concernant le traitement des données par le sous-traitant,
- Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant,
- Superviser le traitement
- Description du traitement
HÉLIANTIS est autorisée à traiter pour le compte du CLIENT les données à caractère personnel nécessaires pour fournir les services suivants dans la mesure où ceux-ci ont été souscrits au titre du contrat.
Dans le cadre de son activité, HÉLIANTIS fournit une gamme de services à ses Clients notamment :
- Hébergement des solutions ;
- Prestation de services ;
- Fourniture de services internet. ;
- Activités supports.
La nature des opérations de traitement réalisées par Héliantis sur les données à caractère personnel est : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement, la limitation, l’effacement ou la destruction et toute autre opération sur les données rendue nécessaire en vue de la réalisation de la prestation contractuelle.
Les finalités du traitement
Il s’agit de l’ensemble des traitements de données effectués par le CLIENT dans le cadre de l’utilisation des produits et services proposés par Héliantis à savoir, selon les fonctionnalités utilisées, principalement :
- Gestion de l’hébergement de serveurs ;
- Gestion du service de messagerie ;
- Gestion du service de téléphonie ;
- Gestion du service d’hébergement de sites web ;
- Gestion de la Sauvegarde ;
Les données à caractère personnel dans ce cadre peuvent être :
- Des données des Clients ainsi que celles de leurs parties prenantes (fournisseurs, Clients, employés, etc.) en lien avec leur vie privé telle que nom, prénom, email et téléphone professionnels, sexe, etc.
- Obligations d’HÉLIANTIS en tant que sous-traitant
Dans la limite des dispositions de l’Article « Responsabilité » du contrat, Héliantis fera ses meilleurs efforts pour préserver la sécurité, l’intégrité et la confidentialité des Données du Client au regard des obligations légales qui lui incombent.
HÉLIANTIS, en tant que sous-traitant au sens de la Législation DCP, mettra en œuvre, pour celles qui le concernent, les mesures techniques et organisationnelles de sécurité appropriées, de manière que les traitements réalisés pour le compte du Client répondent aux exigences de la Législation DCP.
HÉLIANTIS s’engage à :
- Traiter les données uniquement pour la ou les seules finalités qui fait/font l’objet de la sous-traitance
- Traiter les données conformément aux instructions documentées du Responsable de Traitement figurant en annexe du contrat. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union européenne ou du droit des états membres relatives à la protection des données, il en informe immédiatement le Responsable de Traitement ;
- Garantir la confidentialité des données à caractère personnel traitées dans le cadre du contrat ;
- Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du contrat :
- s’engagent à respecter la confidentialité ;
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
- Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
Il reste du ressort du Responsable de Traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte de données.
Si des personnes concernées par un traitement exercent auprès d’Héliantis des demandes d’exercice de leurs droits, HÉLIANTIS adressera ces demandes dès réception par courrier électronique au DPO du Client.
HÉLIANTIS notifie au Responsable de Traitement toute violation de données à caractère personnel dans un délai maximum de 24 heures après en avoir pris connaissance et par le moyen suivant : courrier électronique. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
HÉLIANTIS garantit à ses CLIENTS, que les données traitées dans ce cadre sont hébergées en France.
HÉLIANTIS s’engage à mettre en œuvre les mesures techniques et organisationnelles de sécurité permettant de garantir un niveau de sécurité adapté au risque, y compris, entre autres :
- le chiffrement des données à caractère personnel ;
- des moyens visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, ;
- des moyens permettant de rétablir la disponibilité la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
- des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Au terme de la prestation de services relatifs au traitement de ces données à caractère personnel Héliantis s’engage à renvoyer toutes les données à caractère personnel au Responsable de Traitement. Ce renvoi s’accompagne de la destruction de toutes copies existantes dans le système informatique du sous-traitant.
HÉLIANTIS s’engage enfin à désigner un délégué à la protection des données (dit DPO) et à tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de Traitement, conformément à l’article 30. 2 du RGPD.
- Transfert des données à un sous-traitant ultérieur
HÉLIANTIS pourra sous-traiter, au titre d’une autorisation générale, l’activité Hébergement réalisée pour le compte du CLIENT.
A ce titre, le CLIENT est informé que HÉLIANTIS a recours au Sous-traitant ultérieur. En cas de changement prévu concernant l’ajout ou le remplacement d’un ou plusieurs sous-traitants intervenant dans les activités de traitement pour le compte du CLIENT, Héliantis en informera également le CLIENT, lui donnant ainsi la possibilité d’émettre des objections à l’encontre de ces changements.
Le CLIENT doit émettre ses objections dans un délai de dix (10) jours à compter de la réception de l’information, en indiquant les motifs raisonnables et documentés tenant au non- respect par ce ou ces sous-traitant(s) de la Législation DCP.
En cas d’objection justifiée et pertinente, les Parties conviendront de se rapprocher afin de trouver une solution amiable alternative au recours à ce sous-traitant. En cas d’échec de cette démarche dans un délai d’un (1) mois à compter du démarrage de cette démarche amiable, le CLIENT pourra décider de renoncer au bénéfice de la prestation impliquant le recours audit sous-traitant et, si cela a pour conséquence de rendre impossible la poursuite de l’ensemble des autres prestations confiées à Héliantis, de résilier le contrat.
Le CLIENT devra notifier sa décision par courrier moyennent un préavis raisonnable, qui ne pourra être inférieur à trente (30) jours calendaires, étant entendu que ces deux possibilités ne donneront droit à aucune indemnité au profit du CLIENT, qui ne percevra aucun remboursement pour les prestations et redevances logicielles déjà réglées et devra s’acquitter des sommes dues ;
HÉLIANTIS impose les mêmes obligations en matière de protection des DCP que celles prévues aux présentes par contrat à ses sous-traitants.
HÉLIANTIS notifie au CLIENT toute violation de DCP au sens de la Législation DCP, dans les meilleurs délais à compter du moment où elle en a eu connaissance, auprès du contact CLIENT, étant précisé qu’il appartient au CLIENT de notifier cette violation à l’autorité de contrôle compétente et aux personnes concernées, le cas échéant.
Selon le choix du CLIENT, Héliantis supprime toutes les DCP ou les renvoie au CLIENT au terme des prestations de services relatifs au traitement de DCP, et détruit les copies existantes sauf disposition légale contraire.
HÉLIANTIS met à la disposition du CLIENT toutes les informations nécessaires pour démontrer le respect de ses obligations dans le cadre des prestations de sous-traitance de Données à Caractère Personnel qu’elle effectue pour le compte du CLIENT et pour permettre la réalisation d’audits.
Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations :
Dans le cadre de son obligation d’assistance vis-à-vis du CLIENT, Responsable de traitement, HÉLIANTIS s’engage, le cas échéant dans des conditions financières à définir entre les Parties, à :
- aider le CLIENT, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes des personnes concernées relatives à leurs droits. A ce titre, en cas de réception directement par HÉLIANTIS d’une telle demande, il est convenu que celle-ci transmet la demande au CLIENT, à qui revient la charge d’y apporter une réponse dans les délais prévus par la Législation DCP ;
- aider le CLIENT à garantir le respect des obligations de sécurité. Il est entendu entre les Parties que les engagements de HÉLIANTIS ne portent que sur les moyens qu’elle est à même de mettre en œuvre pour assurer la confidentialité et la sécurité des DCP ;
- aider le CLIENT dans le cadre des notifications des violations de DCP au sens de la Législation DCP et lorsque celui-ci décide de mener une analyse d’impact relative à la protection des DCP ainsi que, le cas échéant, pour la réalisation de la consultation préalable à l’autorité de contrôle, en fournissant toute documentation utile à sa disposition que le CLIENT ne détient pas.
Les Parties s’accordent sur le principe que l’assistance fournie au CLIENT par HÉLIANTIS au titre de la présente clause est effectuée compte tenu de la nature du traitement et du niveau d’information dont HÉLIANTIS bénéficie de la part du CLIENT et dans les limites des obligations qui lui incombent. Les demandes d’assistance supplémentaires non couvertes par le contrat donneront lieu à un accord spécifique entre les Parties. Impose les mêmes obligations en matière de protection des DCP que celles prévues aux présentes par contrat à ses sous-traitants.
- Licéité et transparence
HÉLIANTIS collecte et utilise des données personnelles uniquement dans le cadre de nos relations professionnelles. La finalité pour laquelle les DCP sont traitées, la base juridique sur laquelle repose ce traitement peut être :
- Exécution d’un contrat entre les deux parties ;
- Obligation légale ou réglementaire.
Nous communiquons sur les finalités pour lesquelles nous traitons les données personnelles :
- Mise en contact ;
- Prospection et présentation de nos offres ;
- Élaboration des devis et des contrats ;
- Suivi des opérations techniques ;
- Traitement et suivi des demandes ;
- Conservation des données
- Dans le cadre de la gestion des clients, les données sont conservées uniquement tout au long du contrat + 3 ans ;
- Dans le cadre de la gestion des prospects, les données sont conservées pendant 3 ans à compter de la date de leur collecte.
- Délégué à la protection des données
Notre délégué à la protection des données se tient naturellement à votre disposition pour toute information supplémentaire.
- Par voie postale : HÉLIANTIS – DPO Données 20, rue Johannes KEPLER 64000 PAU ;
- Par courriel : dpo@heliantis.fr