Trustlinks free webinar: Turning regulation into resilience – Register now

Trustlinks logo white.
Réservez une démo
Réservez une démo

ANNEXE 1 CONTRAT DE TRAITEMENT DES DONNEES

Le présent Contrat de traitement des données (le « Contrat de traitement ») régit le traitement des données à caractère personnel résultant de l’utilisation de Trustlinks par le client conformément au contrat et fait donc partie intégrante de celui-ci. Les données client que le client saisit dans Trustlinks sont cryptées et nous n’avons accès à aucune information autre que celles que nous stockons sur nos serveurs et, dans des cas exceptionnels, nous pouvons être amenés à aider le client dans le cadre de questions d’assistance. Ce stockage d’informations signifie que, conformément au règlement sur la protection des données (2016/679) (« RGPD »), nous sommes considérés comme traitant des données à caractère personnel pour le compte du client et constituons donc un sous-traitant pour le client dans son rôle de responsable du traitement. Les termes du présent contrat de traitement doivent être interprétés conformément au RGPD ainsi qu’aux adaptations et réglementations locales applicables en matière de protection des données (collectivement, les « Règles de Protection des Données »). Les termes du contrat de traitement ont la signification qui leur est donnée principalement dans les règles de protection des données et, à défaut, dans le contrat, sauf si les circonstances indiquent clairement le contraire.

1. Responsabilité et instructions

Le type de données et les catégories de personnes concernées traitées dans le cadre du présent contrat de traitement par le sous-traitant en relation avec la fourniture de Trustlinks par le sous-traitant, ainsi que la finalité, la nature, la durée et l’objet du traitement sont décrits à la section 5. Le client doit s’assurer que le sous-traitant ne traite pas d’autres catégories de données que celles spécifiées à la section 5.

Le client est conscient que Trustlinks est une plateforme distribuée à un grand nombre de clients et que nous ne serons donc pas nécessairement en mesure de suivre les instructions qui ne découlent pas directement de la nécessité pour le client de se conformer aux règles de protection des données. Si le client nous donne des instructions que nous ne sommes pas en mesure de suivre, il s’engage à cesser de saisir et d’exporter toutes les données clients concernés par les instructions actuelles. Ce qui précède ne constitue pas une violation du contrat ou de la disponibilité de Trustlinks.

Le client est le responsable du traitement de toutes les données à caractère personnel que le sous-traitant traite pour le compte du client dans le cadre du contrat de sous-traitance. Le client est donc responsable du respect des règles applicables en matière de protection des données et s’engage à suivre les directives d’utilisation de Trustlinks applicables à tout moment.

En concluant le présent Contrat, le Client accepte les mesures de sécurité définies dans les mesures organisationnelles et techniques actuelles de Trustlinks comme étant adéquates pour l’utilisation prévue de Trustlinks par le Client.

 

2. Engagement du sous-traitant

Le Sous-traitant s’engage à :

  1. Disposer d’une sécurité technique et organisationnelle adéquate et prendre les mesures de sécurité énoncées dans les mesures organisationnelles et techniques actuelles de Trustlinks, Trustlinks.com/measures, et à l’article 32 du RGPD afin de protéger les données traitées dans le cadre du présent Contrat, y compris une obligation de confidentialité appropriée imposée aux personnes du Sous-traitant ayant le pouvoir de traiter ces données ;
  2. Aider le client à se conformer aux exigences de sécurité énoncées aux articles 32 à 36 du RGPD (telles que les mesures techniques et organisationnelles, la notification et l’information du client sans retard injustifié en cas de violation des données à caractère personnel, l’évaluation d’impact et la consultation préalable) et veiller à ce que les obligations du client concernant les droits individuels énoncés au chapitre III du RGPD soient respectées (telles que le droit à l’information, à l’accès, à la rectification, à l’effacement, à la limitation du traitement, à la portabilité des données, à l’opposition à la prise de décision automatisée) ;
  3. Donner au Client le droit de recevoir des informations du Sous-traitant afin de contrôler et de vérifier les mesures prises par le Sous-traitant conformément au présent contrat. Le Sous-traitant facilite et contribue aux enquêtes (y compris les inspections) menées par le Client ou un auditeur qui effectue ces enquêtes pour le compte du Client. Le Sous-traitant doit en outre renvoyer au Client dont les données à caractère personnel sont traitées, à l’autorité de contrôle ou à un autre tiers qui demande des informations au Sous-traitant concernant le traitement des données à caractère personnel. Le Sous-traitant doit informer sans délai le Client de tout contact de l’autorité de contrôle qui concerne ou peut avoir une importance pour le traitement des données à caractère personnel,
  4. En fonction du choix du client : supprimer, anonymiser ou restituer toutes les données à caractère personnel au client à la fin du contrat, quelle qu’en soit la raison, y compris supprimer toutes les copies qui, conformément à la loi sur la protection des données, ne doivent pas être conservées,
  5. Fournir au client l’accès aux informations nécessaires pour lui permettre de remplir ses obligations en tant que responsable du traitement vis-à-vis de l’autorité de contrôle et/ou des personnes concernées,
  6. Ne pas transférer les données vers des pays tiers ou une organisation internationale, sauf si la loi sur la protection des données l’exige, auquel cas le sous-traitant en informe immédiatement le client, sauf si cette information est interdite.

Le sous-traitant s’engage en outre à toujours traiter les données conformément aux règles de protection des données. Cela comprend, sans s’y limiter, la tenue d’un registre de toutes les catégories de traitements effectués, la fourniture d’un extrait du registre des traitements effectués à la demande du client et l’information immédiate du client si le sous-traitant soupçonne qu’il existe un risque de violation des libertés et des droits de la personne concernée.

 

3. Sous-traitants et transfert vers des pays tiers

À condition que le Sous-traitant (i) informe le Responsable du traitement de ses intentions dans un délai raisonnable, le Responsable du traitement ayant le droit de s’y opposer, le Sous-traitant est généralement autorisé à engager des sous-traitants pour le traitement des données pour le compte du Client, pour lequel le Sous-traitant est entièrement responsable envers le Client.

À condition que le sous-traitant (i) informe le responsable du traitement de ses intentions au moins 30 jours à l’avance, le responsable du traitement ayant le droit de s’y opposer, et (ii) applique des mécanismes de sécurité adéquats et conformes aux règles de protection des données approuvées, le sous-traitant peut transférer des données à caractère personnel en dehors de l’UE/EEE.

En concluant le présent Contrat, le Client approuve les sous-traitants mentionnés à la section 5. Au moment de la conclusion du présent Contrat, le Sous-traitant ne transfère aucune donnée à caractère personnel vers un pay tiers.

 

4. Divers

Les dispositions du Contrat s’appliquent également au présent Contrat de sous-traitance. En cas de conflit entre le Contrat et le présent Contrat de sous-traitance, ce dernier prévaudra.

 

5. Instructions

La présente section 5 constitue les instructions initiales du Client au Sous-traitant et peut, sous réserve de la section 1.2, être complétée ultérieurement.

Catégories de personnes concernées. Les personnes qui utilisent ou sont concernées par la plateforme de conformité Trustlinks, telles que les employés, les consultants, les partenaires et les personnes figurant dans les dossiers ou les communications gérés dans le système.

Finalité, nature et objet du traitement, et catégories de données à caractère personnel. Le traitement est effectué afin de soutenir une gestion sécurisée de la conformité, y compris la documentation des politiques, les registres des risques, les audits internes et les mécanismes de reporting. Les opérations de traitement comprennent la collecte, la structuration, le stockage, la récupération, la restriction, le contrôle d’accès, la communication et la suppression des données à caractère personnel. Les catégories de données à caractère personnel traitées peuvent inclure les noms, les fonctions, les coordonnées, les informations relatives à l’emploi, les enregistrements de communication, les notes relatives aux dossiers et d’autres documents pertinents en matière de conformité. En fonction des configurations du client, des catégories particulières de données (par exemple, la santé, le casier judiciaire) peuvent également être traitées conformément aux exigences du RGPD.

Stockage des données. Les données sont conservées pendant la durée définie par le client dans les paramètres de conservation de la plateforme Trustlinks.

Sous-traitants. À la date de conclusion du présent contrat, le sous-traitant dispose des sous-traitants suivants, qui peuvent toutefois être modifiés conformément à la section 3 :

  • SMSAPI (Pologne)
  • Brevo (France)
  • OPSWAT (Allemagne)
  • Glesys (Suède)
  • T-Systems International (Allemagne)

Transferts vers des pays tiers. À la date de conclusion du présent contrat, le sous-traitant n’effectue aucun transfert en dehors de l’UE/EEE, ce qui peut toutefois être modifié conformément à la section 3 :

  1. Transferts en dehors de l’UE/EEE : aucun.

Réservez une démo

Envoyez-nous un message et notre équipe vous répondra dans les plus brefs délais.

Trustlinks protège tes données personnelles. On te contactera seulement pour te parler de nos solutions.

Parlez avec Camilla Corsini

camilla.corsini@trustlinks.com
Portrait of Camilla Corsini, Territory Manager at Trustlinks.